思科证实Linux内核碎片错误现在影响88个产品
思科已经证实,更多依赖Linux内核的产品容易受到潜在危险的拒绝服务漏洞的攻击。
这个被称为FragmentSmack的漏洞在8月份被曝光,影响了Linux内核中的IP网络堆栈,为Akamai,亚马逊和瞻博网络等众多Linux发行版和补丁提供了一系列补丁。
当使用分段的IPv4和IPv6数据包进行低速攻击时,该错误可能会使CPU的容量饱和,这可能会导致受影响设备上的拒绝服务状况。
正如RedHat在其文章中所指出的,攻击者可以使用FragmentSmack通过发送碎片化的IP数据包来驱动CPU使用,这些IP数据包会触发内核的“时间和计算成本高昂”的重组算法。
思科一直致力于搜索使用Linux内核版本3.9或更高版本的产品中的漏洞,这些产品已被证实易受FragmentSmack攻击。
该公司过去一个月一直在更新其初步咨询,其中详细说明了确认易受攻击的产品和未被确认的产品。
并非只有基于Linux的产品受影响。微软在本周透露,所有受支持的Windows版本都容易受到FragmentStack的攻击,而Windows服务器更容易受到攻击。
思科现已确认该漏洞影响了88种产品,包括其Nexus交换机,Cisco IOS XE软件,以及其统一计算和统一通信品牌,几种TelePresence产品以及少数无线接入点的设备。
思科指出,可能存在一些可用的解决方法,包括使用访问控制列表和其他速率限制技术来控制到达受影响接口的碎片数据包的缺陷。外部防火墙也可以起到作用,并最大限度地减少对下游设备的影响。
目前正在调查思科应用策略基础架构控制器(APIC)企业模块是否受到影响。
FragmentSmack和一个名为SegmentStack的类似DoS漏洞由芬兰国家网络安全中心(NCSC-FI)和CERT协调中心(CERT / CC)的漏洞协调小组于8月中旬披露。
这些漏洞是由阿尔托大学通信与网络部的Juha-Matti Tilli和诺基亚贝尔实验室发现的。
思科在8月份披露了一个DoS漏洞,其影响类似,影响其网络安全设备的AsyncOS软件,远程攻击者可以使用它来耗尽内存并导致设备停止处理新的TCP连接。
目前被确定为易受攻击的一些路由和网络设备包括:
- 思科云服务平台2100
- 思科Tetration Analytics
- Cisco vEdge 100系列路由器
- Cisco vEdge 1000系列路由器
- Cisco vEdge 2000系列路由器
- Cisco vEdge 5000系列路由器
- Cisco vEdge云路由器平台
- Cisco ACI虚拟EdgeCisco应用程序策略基础结构控制器(APIC)
- 思科DNA中心
- Cisco IOS XE软件
- Cisco IOx Fog Director
- Cisco MDS 9000系列多层交换机
- 思科网络保障引擎
- Cisco Nexus 3000系列交换机
- Cisco Nexus 7000系列交换机
- Cisco Nexus 9000系列光纤交换机 - ACI模式
- Cisco Nexus 9000系列交换机 - 独立的NX-OS模式
- Cisco ACI虚拟边缘
- 思科应用策略基础架构控制器(APIC)
- Cisco DNA CenterCisco IOS XE软件
- Cisco IOx Fog Director
- Cisco MDS 9000系列多层交换机
- 思科网络保障引擎
- Cisco Nexus 3000系列交换机
- Cisco Nexus 7000系列交换机
- Cisco Nexus 9000系列光纤交换机 - ACI模式
- Cisco Nexus 9000系列交换机 - 独立的NX-OS模式
- Cisco Aironet 1560系列接入点
- Cisco Aironet 1815系列接入点
- Cisco Aironet 2800系列接入点
- Cisco Aironet 3800系列接入点
- 思科移动服务EngineCisco无线局域网控制器