安全预警 - 华为多款路由器产品存在VRF跳跃漏洞
- 预警编号:Huawei-SA-20151021-01-Routers
- 初始发布时间: 2015年10月21日
- 更新发布时间: 2015年11月10日
华为多款路由器产品存在一个VRF(VPN routing and forwarding)跳跃漏洞,由于路由器设备对于收到的MPLS转发报文没有做严格检查,攻击者可以利用此漏洞将构造的报文转发到MPLS链路中,在接收报文的VPN中造成洪泛攻击(漏洞编号: HWPSIRT-2015-07005)。
此漏洞的CVE编号为:CVE-2015-8087。
华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/security/psirt/security-bulletins/security-advisories/hw-457932.htm
|
产品名称 |
版本号 |
修复版本号 |
|
NE20E-S |
V800R006 |
Upgrade to V800R007C10SPC100 |
|
V800R007C00 |
||
|
NE40E&NE80E |
V800R006 |
Upgrade to V800R007C00SPC100 |
|
NE40E-M& NE40E-M2 |
V800R006 |
Upgrade to V800R007C10SPC100 |
|
V800R007C00 |
攻击者可以利用此漏洞将构造的报文转发到MPLS链路中,在接收报文的VPN中造成洪泛攻击。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:4.3 (AV:N/AC:M/Au:N/C:N/I:N/A:P)
临时得分:3.6 (E:F/RL:O/RC:C)
前提条件:
- 攻击者需要直接连接路由器设备配置IP地址的网络接口。
- 攻击者网络和被攻击者网络在同一路由器的不同VRF中。
攻击步骤:
MPLS域内路由器设备上同时部署了多个VPN。攻击者构造特定报文从一个VPN中通过MPLS链路转发到另外一个VPN中,对接收报文的VPN造成洪泛攻击。
存在以下2种规避措施适用于不同的单板类型。
规避措施 1,适用于NE40E产品的 LPUF-10 单板类型。
通过配置二层ACL,匹配带标签报文,执行如下配置。在系统视图下,配置二层ACL,设定过滤条件为以太网二层头中的以太type字段,过滤值为0x8847,掩码为0xFFFF。二层ACL,范围为4000-4999。以下以acl 4000为例说明。
步骤 1, 配置 ACL 4000, 配置举例:
#
[NE40E]acl 4000
[NE40E-acl-ethernetframe-4000] rule permit type 8847 FFFF
步骤 2, 配置traffic classifier,配置举例:
[NE40E]traffic classifier deny-mpls
[NE40E-classifier-deny-mpls]if-match acl 4000
步骤 3, 配置 traffic behavior, 配置举例:
[NE40E]traffic behavior deny-mpls
[NE40E-behavior-deny-mpls]deny
步骤 4, 配置 traffic policy, 配置举例:
[NE40E]traffic policy deny-mpls
[NE40E-trafficpolicy-deny-mpls]classifier deny-mpls behavior deny-mpls
步骤 5, 在接口上应用流程策略, 配置举例:
[NE40E]interface GigabitEthernet 1/1/0.1
[NE40E-GigabitEthernet1/1/0.1]traffic-policy deny-mpls inbound link-layer
规避措施2,适用于NE40E产品的以下单板类型:LPUI-41/LPUS-41/LPUF-100/LPUI-100/LPUS-100/ LPUF-50/LPUF-51/LPUI-51/ LPUS-51/LPUF-101/LPUI-101/LPUS-101/LPUF-102/ LPUI-102/LPUF-120/LPUI-120/LPUS-120/LPUF-240/LPUI-240。
通过配置MPLS ACL,对带标签报文进行过滤,执行如下配置。在系统视图下,执行ACL命令,配置MPLS ACL,设定过滤条件为label any,过滤带标签报文。MPLS ACL,范围为10000-10999。以下以acl 10000为例说明。
步骤 1, 配置ACL 10000, 配置举例:
#
[NE40E]acl 10000
[NE40E-acl-mpls-10000]rule permit label any
步骤2, 配置traffic classifier, 配置举例:
[NE40E]traffic classifier deny-mpls
[NE40E-classifier-deny-mpls]if-match acl 10000
步骤3, 配置traffic behavior, 配置举例:
[NE40E]traffic behavior deny-mpls
[NE40E-behavior-deny-mpls]deny
步骤4, 配置traffic policy, 配置举例:
[NE40E]traffic policy deny-mpls
[NE40E-trafficpolicy-deny-mpls]classifier deny-mpls behavior deny-mpls
步骤5, 在接口上应用流程策略, 配置举例:
[NE40E]interface GigabitEthernet 1/1/0.1
[NE40E-GigabitEthernet1/1/0.1]traffic-policy deny-mpls inbound mpls-layer
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
该漏洞由来自MWR实验室的G. Geshev发现。华为应急响应团队尚未知悉关于该漏洞的任何公开声明或者恶意使用。
在此,华为公司对G. Geshev对华为公司产品的关注表示感谢。
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2015-11-10 V1.1 UPDATED增加CVE编号
2015-10-21 V1.0 INITIAL
无
