RootSSV:3106Cisco IOS多播虚拟专用网MDT Data Join消息处理数据泄露漏洞
0.017 Low
EPSS
Percentile
87.8%
BUGTRAQ ID: 28464
CVE(CAN) ID: CVE-2008-1156
Cisco IOS是思科网络设备所使用的互联网操作系统。
Cisco IOS在实现多播虚拟专用网(MVPN)时存在漏洞,允许攻击者发送特制的多播分布树(MDT)Data Join消息导致在核心路由器上创建额外的多播状态。
这个漏洞还允许泄露其他MPLS VPN的多播通讯,可以接收连接到同一供应商边界(PE)路由器的VPN的多播通讯。如果要成功利用这个漏洞,攻击者必须知道或猜测到远程PE路由器的边界网管协议(BGP)同层IP地址,以及其他MPLS VPN所使用的多播组的地址。
Cisco IOS 12.4
Cisco IOS 12.3
Cisco IOS 12.2
Cisco IOS 12.1
Cisco IOS 12.0
临时解决方法:
- 过滤到UDP 3232端口的报文
MDT Data Join消息发送到UDP 3232端口,创建过滤目标UDP 3232端口的访问列表,并应用到PE路由器的VRF接口来缓解这个漏洞。访问列表类似于:
access-list 100 deny udp any any eq 3232
access-list 100 permit ip any any
interface Serial 0/0
ip vrf forwarding <vpn-1>
...
ip access-group 100 in
- 在VRF接口上过滤BGP对等端IP地址
创建过滤iBGP对等端IP地址为源地址的访问列表并将其应用到PE路由器的VRF接口来缓解这个漏洞。访问列表必须过滤所有的iBGP对等端IP地址,如下所示:
access-list 100 deny udp host <ibgp-peer-1> any eq 3232
access-list 100 deny udp host <ibgp-peer-2> any eq 3232
...
access-list 100 deny udp host <ibgp-peer-n> any eq 3232
access-list 100 permit ip any any
interface Serial 0/0
ip vrf forwarding <vpn-1>
...
ip access-group 100 in
厂商补丁:
Cisco
Cisco已经为此发布了一个安全公告(cisco-sa-20080326-mvpn)以及相应补丁:
cisco-sa-20080326-mvpn:Cisco IOS Multicast Virtual Private Network (MVPN) Data Leak
链接:<a href=“http://www.cisco.com/warp/public/707/cisco-sa-20080326-mvpn.shtml” target=“_blank”>http://www.cisco.com/warp/public/707/cisco-sa-20080326-mvpn.shtml</a>
Related
