BlackNurse攻击：4Mbps搞瘫路由器和防火墙

研究人员宣称，最新的知名漏洞BlackNurse，是一种拒绝服务攻击，能够凭借仅仅15到18Mbps的恶意ICMP数据包就将防火墙和路由器干掉。

该攻击会滥用Internet控制报文协议（ICMP）第3类代码为3的“端口不可达”消息，并且已经发现数起针对思科路由器的攻击事件，以及针对包括ZyXEL、Sonicwall以及Palo Alto Networks等供应商的路由器或防火墙的攻击事件。发现这一漏洞的安全研究人员Lenny Hansson和Kenneth J rgensen宣称该攻击可以仅用4Mbps的流量即可中断Cisco ASA 55xx系列的路由器。

研究人员在BlackNurse的网站上写到：“我们发现思科ASA 55xx系列防火墙产品的问题最大，即使选择拒绝所有通向防火墙的ICMP通讯，防火墙还是会受到仅用4Mbit就可以造成的DOS（拒绝服务）攻击。”

TDC的研究人员指出，要延缓BlackNurse攻击，可通过简单地配置将可信任的源加入允许配置的白名单中即可。通过在广域网上将ICMP第3类代码为3进行无效化，能够轻易地缓解此种攻击的危害。这也是我们目前所了解的最佳的缓解办法。

尽管研究人员们相信漏洞是基于设备控制数据包的方式，问题发生的源头目前仍不清楚。“我们当前只发现基于硬件的防火墙存在问题，这些数据包会直接送到CPU”，Hansson和J rgensen两位研究人员通过邮件如是告诉本站。

然而，并非所有人都认同BlackNurse可能带来威胁这一观点。SANS技术学会的研究院院长Johannes Ullrich在一篇博客中写到：“目前尚不清楚为何这些特殊的ICMP数据包需要如此频繁地通过CPU进行处理，但在我看来，很可能是由于防火墙试图对这些数据包进行状态分析。ICMP不可达数据包中包含了有效载荷中造成错误的开头几字节的数据，防火墙能够利用这些有效载荷去判断错误是否是由过去留在网络中的合法数据包造成，这种分析过程需要消耗较多的资源”。

思科在一份给本站的声明中淡化了威胁的程度，认为：“这一问题并不针对特定供应商，并且该攻击并不导致安全漏洞，在已知的攻击事件中，提到的ASA设备能够继续执行和配置安全策略，没有出现妥协。对于研究中所提到的ASA系列防火墙，其面向DoS攻击的保护是多方面的，而且我们与消费者们密切合作，确保上游网络中的DoS安全，并将其作为最佳实践”。

Palo Alto Networks向其客户发布的一份有关BlackNurse的声明中叙述到，“我们已经针对该问题进行调查，并且向购买Palo Alto Networks下一代防火墙的客户解释，该问题仅仅会影响很特殊的，有违最佳实践的非通常情况下的应用场景”。

Palo Alto为其客户提供的免受BlackNurse的最佳办法，包括配置DoS保护文件来阻止ICMP以及ICMPv6的数据包洪泛攻击，然而该公司也警告说洪泛攻击可能采用任意协议类型。

“施展攻击并不需要大量的带宽”，Hansson和J rgensen告诉本站，他们注意到如果将BlackNurse与类似上个月摧毁Dyn DNS服务的Mirai DDoS这样的僵尸网络结合起来，将引起很大的麻烦，因为这种攻击能够通过物联网设备发起”，我们已经见识了面向思科设备的4（Mpbs）大小的拒绝服务攻击。上传速率很小的物联网设备能够从僵尸网络中袭来。这意味着像Mirai的僵尸网络能够一次性攻击更多的目标。这会比1TBps的单次单一目标攻击更具有威胁。

至于攻击的来源，研究人员说：“现在我们已经发现，相信这种攻击是利用了某种分布式拒绝服务的攻击方式。这是基于我们了解到的客户所遭遇的混合攻击类型总结所而来的。”

本文转自d1net（转载）