思科警告称,运行其 NX-OS 软件的 Nexus 交换机客户应安装更新解决一个严重缺陷。它可导致远程攻击者绕过网络访问控制并将恶意互联网流量路由至内部网络。
该 bug 的编号是 CVE-2020-10136,可被用于在受影响的 Nexus 交换机上触发拒绝服务。或者更令人担心的是,它绕过过滤导入的互联网流量的输入访问控制列表后,可将流量从攻击者机器路由到目标内部网络。使用范围广泛的多款思科 Nexus 交换机中都存在一个缺陷,可导致设备“异常解封或处理目的地为本地配置的 IP 地址的 IP 包中的IP,即使不存在隧道配置也是如此。”IETF RFC 2003 IP-in-IP 隧道协议标准允许将 IP 包封装到其它 IP 包中,而流量一直仍然是未加密状态。美国CERT/CC 员工 Vijay Sarvepalli 解释称,该协议将内部 IP 包解封并通过 IP 路由表转发,但如果设备不受限制地接受源自任何地方的数据包,则可导致设备易受攻击。Sarvepalli 表示,“如果 IP-in-IP 设备接受任何来源和目的地之间的 IP-in-IP 数据包,而该特定来源和目的地的 IP 地址之间没有明确的配置,则可导致该设备易受攻击。”而这就是影响思科多款支持 IP-in-IP 数据包封装和解封的 Nexus NX-OS 设备的问题所在:除非它们手动配置了 ACL 站内隧道控制,则无法将IP流量中的任何 IP 解封并处理到设备的隧道接口。思科表示,“成功的 exploit 可导致受影响设备异常解封 IP-in-IP 数据包并转发内部 IP 数据包,这可能导致 IP 数据包绕过受影响设备上的输入访问控制列表或网络其它地方定义的其它安全边界。受影响设备站内接口上配置的任何输入 ACL 在解封前都会评估运营商 IP 数据包上的 IP 字段;它不会在passenger IP 数据包上进行评估。这就可能导致passenger IP 数据包绕过意图 ACL 过滤。这可能导致passenger IP 数据包绕过其它安全边界,在网络流量技术情境中,这些安全边界可能定义在受影响设备的网络路径中,而这种技术只会检查外部 IP 头信息而非内部 IP 数据包信息。”此外,多次利用该 bug 的攻击者可导致设备网络栈崩溃,从而导致受影响交换机上出现拒绝服务的后果。思科对该 bug 的严重性评分为 8.6。CERT/CC 表示该 bug 可导致反射型分布式拒绝服务攻击、信息泄露和网络控制绕过后果。未立即安装更新的用户可在上游路由器或其它设备过滤 IP 协议 4 数据包的方式阻止 IP-in-IP 数据包。Sarvepalli 强调称这种过滤针对的是 IP 协议头值为4而非 IPv4。
然而思科的首要建议是建议用户使用“基础设施访问控制列表 (iACLs),严格只允许管理和控制面板流量导入受影响设备。”发现并报告该漏洞的研究员 Yannay Livneh 已在 GitHub 上公布 PoC 利用代码,供管理员测试自己的 Nexus 设备是否易受攻击。管理员可验证设备是否支持从任意来源到任意目的地的 IP-in-IP 封装。Nexus 1000 Virtual Edgefor VMware vSphere
Nexus 1000V Switch forMicrosoft Hyper-V
Nexus 1000V Switch forVMware vSphere
Nexus 3000 Series Switches
Nexus 5500 PlatformSwitches
Nexus 5600 PlatformSwitches
Nexus 6000 Series Switches
Nexus 7000 Series Switches
Nexus 9000 Series Switchesin standalone NX-OS mode
UCS 6200 Series FabricInterconnects
UCS 6300 Series FabricInterconnects
https://www.zdnet.com/article/cisco-warns-these-nexus-switches-have-been-hit-by-a-serious-security-flaw/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~