Cisco IOS双栈路由器IPv6拒绝服务漏洞

BUGTRAQ ID: 28461
CVE(CAN) ID: CVE-2008-1153

Cisco IOS是思科网络设备中所使用的互联网操作系统。

运行Cisco IOS软件的设备如果启用了IPv6，就会受拒绝服务攻击影响。设备必须还要启用了IPv4 UDP服务才会受这个漏洞影响。如果要利用这个漏洞，攻击IPv6报文必须指向设备，通过路由器路由的报文不会触发这个漏洞。成功利用这个漏洞可能导致以下情况之一：

1. 如果接口上配置了RSVP服务则设备会崩溃。
2. 任何其他受影响的基于IPv4 UDP的服务会导致接口无法接收更多的通讯，仅有利用漏洞端口才会受影响。

这个漏洞与接口媒介类型无关。被阻断的接口会立即停止接收任何发送给设备本身的报文，直到打开接口。阻断的接口在一段时间内可能仍允许中间通讯，直到路由项或地址解析协议（ARP）项过期（以先过期项为准）。中间通讯可能在几秒钟或4小时（ARP缓存的默认生命时间）内停止经过阻断的接口，具体取决于环境。之后没有中间通讯会通过被阻断的接口。

Cisco IOS 12.4
Cisco IOS 12.3
Cisco IOS 12.2
Cisco IOS 12.1
临时解决方法：

• 如果不需要IPv6协议
  ±------------------------------

  使用以下命令禁用IPv6：

  Router(config)#interface FastEthernet0/0
  Router(config-if)#no ipv6 address

  或者

  Router(config)#interface FastEthernet0/0
  Router(config-if)#no ipv6 enable

  如果RSVP为唯一所配置的受影响服务，只要在RSVP所配置的接口上禁用IPv6。如果设备上还有其他受影响的UDP服务，则必须从所有接口禁用IPv6。

• 如果不需要基于IPv4 UDP的服务
  ±-----------------------------------------

  仅有所有受影响的基于IPv4 UDP的服务。

  禁用TACACS
  ±--------------

  使用以下命令禁用TACACS：

  Router(config)#no tacacs-server host <IP-address>

  或者

  Router(config)#no tacacs-server administration

  禁用DNS
  ±-----------

  使用以下命令禁用DNS：

  Router(config)#no ip dns server

  禁用RSVP
  ±------------

  使用以下命令禁用RSVP：

  Router(config)#interface <Interface>
  Router(config)#no ip rsvp bandwidth

  禁用L2F/L2TP
  ±----------------

  使用以下命令禁用L2F/L2TP：

  Router(config)#clear vpdn tunnel l2tp all
  Router(config)#no vpdn-group <group-name>
  Router(config)#no vpdn enable

  禁用IP SLA Responder
  ±------------------------

  使用以下命令禁用IP SLA Responder：

  Router(config)#no ip sla monitor responder

  禁用MGCP
  ±------------

  使用以下命令禁用MGCP：

  Router(config)#no mgcp

  禁用SIP
  ±-----------

  使用以下命令禁用SIP：

  Router(config)#sip-ua
  Router(config-sip-ua)#no transport udp
  Router(config-sip-ua)#no transport tcp

• 如果需要基于IPv4 UDP的服务
  ±--------------------------------------

  可通过部署IPv6访问控制列表（ACL）防止攻击IPv6报文到达有漏洞的UDP服务。以下示例中的ACL可阻断所有IPv6通讯到达有漏洞的服务。

  Router(config)#ipv6 access-list protect_IPv4_services
  Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq tacacs
  Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq domain
  Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 1698
  Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 1701
  Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 1967
  Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 2427
  Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 5060

  !-- Permit/deny all other Layer 3 and Layer 4 traffic in accordance
  !-- with existing security policies and configurations
  !
  !-- Allow all other IPv6 traffic

  Router(config-ipv6-acl)#permit ipv6 any 2001:db8:1:128::/64

  !
  !

  Router(config)#interface FastEthernet0/1
  Router(config-if)#ipv6 traffic-filter protect_IPv4_services in

厂商补丁：

Cisco

Cisco已经为此发布了一个安全公告（cisco-sa-20080326-IPv4IPv6）以及相应补丁:
cisco-sa-20080326-IPv4IPv6：Cisco IOS User Datagram Protocol Delivery Issue For IPv4/IPv6 Dual-stack Routers
链接：<a href=“http://www.cisco.com/warp/public/707/cisco-sa-20080326-IPv4IPv6.shtml” target=“_blank”>http://www.cisco.com/warp/public/707/cisco-sa-20080326-IPv4IPv6.shtml</a>