我的位置 首页  >  新闻动态  >  国内新闻

关于Cisco FXOS和NX-OS软件链路层协议拒绝服务漏洞的情况通报

来源:科技成果转化中心时间:2018-10-23
      

近日,Cisco通报了其开发的FXOS和NX-OS软件链路层协议拒绝服务漏洞的情况。CNCERT下属的工业互联网安全应急响应中心(http://www.ics-cert.org.cn)针对漏洞情况进行了分析,并对国内相关联网资产进行了在线监测,具体情况通报如下:

一、漏洞情况分析

Cisco FXOS、NX-OS分别是Cisco公司所设计研发的网络和内容安全解决方案的下一代平台和个数据中心级的操作系统。FXOS Firepower 安全设备是思科以应用为中心的基础设施 (ACI) 安全解决方案的一部分,而Cisco NX-OS确保持续的可用性,并为承担关键业务的数据中心环境设立标准。

安全研究人员发现,Cisco FXOS软件和Cisco NX-OS软件存在链路层协议(LLDP)实现的漏洞。分析表明,该漏洞是由于LLDP协议帧头的类型、长度、值(TLV)字段的输入验证不当造成的。攻击者可以将精心设计的LLDP数据包发送到目标设备上的接口来利用此漏洞,导致设备意外重新加载。

二、漏洞影响范围

该漏洞的综合评级为“高危”。

根据生产厂商以及漏洞研究者的测试结果,受到该漏洞影响的思科设备为Firepower 4100系列下一代防火墙、Firepower 9300安全设备、MDS 9000系列多层交换机、Nexus 2000/ 3000/ 3500/ 5500/ 5600/6000/7000/7700/9000系列交换机、UCS 6100/6200/6300系列交换矩阵互联。截止当前,我中心通过监测手段发现了部分暴露在互联网上的相关设备,详细信息见附录一、二。

三、漏洞处置建议

目前厂商已发布解决上述漏洞的固件更新,建议相关用户及时检查更新。

详情请关注厂商网站的相关信息:

https://www.cisco.com/c/en/us/products/end-user-license- agreement.html

此外,建议相关用户应采取的其他安全防护措施如下:

(1)最大限度地减少所有控制系统设备和/或系统的网络暴露,并确保无法从Internet访问。

(2)定位防火墙防护的控制系统网络和远程设备,并将其与业务网络隔离。

(3)当需要远程访问时,请使用安全方法如虚拟专用网络(VPN),要认识到VPN可能存在的漏洞,需将VPN更新到最新版本。

工业互联网安全应急响应中心将持续跟踪漏洞处置情况,如需技术支持,请及时与我们联系。

联系电话:010-82992157

邮箱:ics-cert@cert.org.cn

网站:www.ics-cert.org.cn

微信公众号:工业互联网安全应急响应中心

相关安全公告链接参考如下:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181017-fxnx-os-dos
附录一 国内暴露在互联网的该漏洞相关网络资产信息

省份

城市

区县

运营商

IP地址

北京市

北京市

东城区

电信/联通(网通)/互联港湾

103.249.**.**

北京市

北京市

东城区

电信/联通(网通)/互联港湾

103.249.**.**

北京市

北京市

延庆县

联通(网通)

111.203.**.**

北京市

北京市

*

电信/联通(网通)

123.59.**.**

北京市

北京市

*

电信/联通(网通)

123.59.**.**

北京市

北京市

*

电信/联通(网通)

123.59.**.**

北京市

北京市

*

电信/联通(网通)

123.59.**.**

北京市

北京市

*

电信/联通(网通)

123.59.**.**

北京市

北京市

*

电信/联通(网通)

123.59.**.**

北京市

北京市

*

电信/联通(网通)

123.59.**.**

北京市

北京市

*

电信

36.110.**.**

江苏省

苏州市

姑苏区

联通(网通)

112.80.**.**

江苏省

徐州市

铜山县

教育网

202.119.**.**

江西省

南昌市

湾里区

移动

120.203.**.**

宁夏

中卫市

沙坡头区

电信

36.103.**.**

宁夏

吴忠市

利通区

电信

36.103.**.**

宁夏

吴忠市

利通区

电信

36.103.**.**

宁夏

吴忠市

利通区

电信

36.103.**.**

上海市

上海市

*

教育网

202.120.**.**

上海市

上海市

*

教育网

202.120.**.**

上海市

上海市

*

教育网

202.120.**.**

浙江省

宁波市

*

联通(网通)

101.71.**.**

浙江省

绍兴市

*

移动

112.16.**.**

浙江省

绍兴市

*

移动

112.16.**.**

浙江省

杭州市

*

移动

112.17.**.**

浙江省

杭州市

西湖区

电信

115.236.**.**

 

附录二 国内暴露在互联网的该漏洞相关网络资产分布图



       (科技成果转化中心供稿)