Cisco IOS双栈路由器IPv6拒绝服务漏洞

2008-03-31T00:00:00
ID SSV:3108
Type seebug
Reporter Root
Modified 2008-03-31T00:00:00

Description

BUGTRAQ ID: 28461 CVE(CAN) ID: CVE-2008-1153

Cisco IOS是思科网络设备中所使用的互联网操作系统。

运行Cisco IOS软件的设备如果启用了IPv6,就会受拒绝服务攻击影响。设备必须还要启用了IPv4 UDP服务才会受这个漏洞影响。如果要利用这个漏洞,攻击IPv6报文必须指向设备,通过路由器路由的报文不会触发这个漏洞。成功利用这个漏洞可能导致以下情况之一:

  1. 如果接口上配置了RSVP服务则设备会崩溃。
  2. 任何其他受影响的基于IPv4 UDP的服务会导致接口无法接收更多的通讯,仅有利用漏洞端口才会受影响。

这个漏洞与接口媒介类型无关。被阻断的接口会立即停止接收任何发送给设备本身的报文,直到打开接口。阻断的接口在一段时间内可能仍允许中间通讯,直到路由项或地址解析协议(ARP)项过期(以先过期项为准)。中间通讯可能在几秒钟或4小时(ARP缓存的默认生命时间)内停止经过阻断的接口,具体取决于环境。之后没有中间通讯会通过被阻断的接口。

Cisco IOS 12.4 Cisco IOS 12.3
Cisco IOS 12.2 Cisco IOS 12.1 临时解决方法:

  • 如果不需要IPv6协议 +-------------------------------

使用以下命令禁用IPv6:

Router(config)#interface FastEthernet0/0
Router(config-if)#no ipv6 address

或者

Router(config)#interface FastEthernet0/0
Router(config-if)#no ipv6 enable

如果RSVP为唯一所配置的受影响服务,只要在RSVP所配置的接口上禁用IPv6。如果设备上还有其他受影响的UDP服务,则必须从所有接口禁用IPv6。

  • 如果不需要基于IPv4 UDP的服务 +------------------------------------------

仅有所有受影响的基于IPv4 UDP的服务。

禁用TACACS +---------------

使用以下命令禁用TACACS:

Router(config)#no tacacs-server host <IP-address>

或者

Router(config)#no tacacs-server administration

禁用DNS +------------

使用以下命令禁用DNS:

Router(config)#no ip dns server

禁用RSVP +-------------

使用以下命令禁用RSVP:

Router(config)#interface <Interface>
Router(config)#no ip rsvp bandwidth

禁用L2F/L2TP +-----------------

使用以下命令禁用L2F/L2TP:

Router(config)#clear vpdn tunnel l2tp all
Router(config)#no vpdn-group <group-name>
Router(config)#no vpdn enable

禁用IP SLA Responder +-------------------------

使用以下命令禁用IP SLA Responder:

Router(config)#no ip sla monitor responder

禁用MGCP +-------------

使用以下命令禁用MGCP:

Router(config)#no mgcp

禁用SIP +------------

使用以下命令禁用SIP:

Router(config)#sip-ua
Router(config-sip-ua)#no transport udp
Router(config-sip-ua)#no transport tcp
  • 如果需要基于IPv4 UDP的服务 +---------------------------------------

可通过部署IPv6访问控制列表(ACL)防止攻击IPv6报文到达有漏洞的UDP服务。以下示例中的ACL可阻断所有IPv6通讯到达有漏洞的服务。

Router(config)#ipv6 access-list protect_IPv4_services
Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq tacacs
Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq domain
Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 1698
Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 1701
Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 1967
Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 2427
Router(config-ipv6-acl)#deny udp any 2001:DB8:1:128::/64 eq 5060

!-- Permit/deny all other Layer 3 and Layer 4 traffic in accordance        
!-- with existing security policies and configurations                     
!
!-- Allow all other IPv6 traffic

Router(config-ipv6-acl)#permit ipv6 any 2001:db8:1:128::/64

!
!

Router(config)#interface FastEthernet0/1
Router(config-if)#ipv6 traffic-filter protect_IPv4_services in

厂商补丁:

Cisco

Cisco已经为此发布了一个安全公告(cisco-sa-20080326-IPv4IPv6)以及相应补丁: cisco-sa-20080326-IPv4IPv6:Cisco IOS User Datagram Protocol Delivery Issue For IPv4/IPv6 Dual-stack Routers 链接:<a href=http://www.cisco.com/warp/public/707/cisco-sa-20080326-IPv4IPv6.shtml target=_blank>http://www.cisco.com/warp/public/707/cisco-sa-20080326-IPv4IPv6.shtml</a>