Истина где-то ниже
Сентябрь 29, 2018

DoS-уязвимость в Linux затронула более 80 продуктов Cisco

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Cisco Systems обновила бюллетень, посвященный багу отказа в обслуживании в ядре Linux, дополнив список уязвимых устройств и сервисов. На настоящий момент присутствие удаленно эксплуатируемой бреши, известной под именем FragmentSmack, подтверждено для 80+ продуктов компании.

Для некоторых из них патчи уже вышли, другие включены в полугодовой график выпуска обновлений. Ревизия портфеля еще не закончена, в настоящее время Cisco проверяет APIC-EM — контроллер SDN для корпоративной сети.

Уязвимость FragmentSmack (CVE-2018-5391) была опубликована в середине августа, через неделю после схожей SegmentSmack. Она возникла из-за низкой эффективности алгоритма повторной сборки пакетов IPv4/v6 после фрагментации и позволяет полностью загрузить ЦП этой задачей. Сценарий атаки FragmentSmack предполагает создание потока IP-пакетов с произвольным смещением фрагментов. При большой интенсивности вредоносного трафика — порядка 30 тыс. пакетов в секунду — очередь станет расти, как и задержки в обработке, а ЦП будет постоянно занят сборкой. Более того, FragmentSmack открывает возможность для подмены IP-адреса источника атаки, что лишь на руку злоумышленникам.

Данная уязвимость актуальна для Linux 3.9 и более новых выпусков; соответствующий патч уже выпущен. Похожая проблема была обнаружена в Windows в 90-е годы; она получила известность как Teardrop attack. Как оказалось, ее реинкарнация FragmentSmack затрагивает все современные ОС Microsoft — их список представлен в бюллетене, опубликованном две недели назад. Заплатки для поддерживаемых версий Windows вышли в рамках сентябрьского «вторника патчей».

Ввиду масштабности угрозы участники CERT при университете Карнеги — Меллона составили список вендоров, потенциально затронутых FragmentSmack. Среди них числится и Cisco, хотя ее статус пока не обновлен.

По мере появления новой информации компания обещает и впредь вносить коррективы в свой бюллетень, а пока рекомендует принять альтернативные меры защиты, указанные в документации по конкретным продуктам. В частности, можно ограничить входной поток фрагментированных IP-пакетов на интерфейсе с помощью ACL-списков, политик CoPP (Cisco Control Plane Policing) или других фильтров, способных снизить нагрузку на ЦП. Целесообразно также с этой целью задействовать внешние средства — межсетевой экран или инфраструктурный список ACL на граничных устройствах.

Источник: https://threatpost.ru/linux-fragmentsmack-bug-more-than-80-cisco-products-affected/28427/