MTN Sudan
نوفمبر
16
2016

هجوم Blacknurse يهدد الملايين

يبدو ان امن المعلومات سيكون هاجساً بدا من الان ومن امس وليس كما توقع الكثيرون في المستقبل القريب.

فاسلوب هجوم blacknurse يسبب الفصل عن الخدمة denial of service DOS  لاجهزة ال Firewall عن طريق استغلال بروتوكول ICMP type3 وهذا اسلوب غير معتاد لانه عادة مايتم استغلال البروتوكول ICMP Type 8 في هذا النوع من الهجوم مما يجعله مؤثر جدا , فاذا سمح المستخدم لبروتوكول ICMP type3 على منفذ خارجى فان الهجوم يصبح فعال جدا , ويعمل الهجوم على باندودث منخفضه اى انه لايحتاج لسرعة انترنت عالية جدا  فتعتبر 15Mb كافية جدا ليتم ارسال 50 الف  packets في الثانية الواحده وهذا عادة لايمثل مشكله اذا كنت تستخدم منفذ Ethernet بسرعة 1GB تكمن المشكلة في ان الهجوم يشغل المعالج جدا لدرجة ان المستخدم العادى لن يستطيع ارسال اى حزمه الى الانترنت او استقبالها .

بامكانك اختبار بيئتك عن طريق تشغيل الامر بعد ان تسمح للبروتوكول ICMP على جانب ال WAN :

firewall

hping3 -1 -C 3 -K 3 -i u20 <target ip>

hping3 -1 -C 3 -K 3 –flood <target ip>

وقم اثناء التجربة بمحاولة الوصول للانترنت اذا استطعت الوصول فانت بامان اما اذا لم تستطع فانت في خطر حقيقي .

ادناه قائمة ببعض الاجهزة المتاثرة ليس حصراً :

Cisco ASA 5505, 5506, 5515, 5525 , 5540 (default settings)

Cisco 6500 routers with SUP2T and Netflow v9 on the inbound interface – 100% CPU load

Cisco ASA 5550 (Legacy) and 5515-X (latest generation) – (see detailed test results)

ASA Still surprises – see this result from Gupta Deva!!!!

and a tool for testing cpu consumption on Cisco from Gupta Deva

Cisco Router 897 – Can be mitigated – The current code from https://www.cymru.com/Documents/secure-ios-template.html will make evil worse.

SonicWall – Misconfiguration can be changed and mitigated (Enable Anti-DDOS)

Some unverified Palo Alto – SEE ANSWER FROM PALO ALTO

Palo Alto 5050 Firewalls with firmware 7.1.4-h2

Zyxel NWA3560-N (Wireless attack from LAN Side)

Zyxel Zywall USG50

Fortinet v5.4.1 – One CPU consumed

Fortigate units 60c and 100D (even with drop ICMP on) – RESPONSE FROM FORTINET

الاجهزة ادناه في أمان ولم تتاثر :

Iptables (Netfilter! – thx Martin ;-)) (even with 480 Mbit/sek)

mikrotik CCR1036-12G-4S firmware: 3.27 (250 Mbit/sek) and no problem && RouterOS 5.4 on Mikrotik RB750

OpenBSD 6.0 and current

Windows Firewalls

pfSense

GigaVUE HC-Serie (Gigamon)

AVM Fritz!Box 7360 (common ADSl router in Germany)

Ubiquiti Networks – EdgeRouter Lite CPU 60-70% load but still going

Cisco ISR4321 Router IOS XE – Version 15.5(3)S2, RELEASE SOFTWARE (fc2)

Check Point Security Gateways – Checkpoint response!

Juniper SRX

 

لمزيد من المعلومات راجع

http://blacknurse.dk/

تحياتى

لا يوجد تعليق »

خلاصة تعليقات التدوينة - رابط التعقيب


رد

mojtabanow.info : موقع متخصص فى تقنية المعلومات, أوراكل , لينكس , أمن المعلومات تستخدم Wordpress - القالب من تصميم TheBuckmaker.com - تعريب الإعصار الأحمر