思科系统(Cisco Systems)表示,攻击者可能会中断或拦截其许多网络产品的通信,除非对其运行的软件进行新的安全升级。
该问题对开放最短路径优先(OSPF)路由协议及其链路状态公告(LSA)数据库的实现产生了重要影响。该协议用于确定自治系统(AS)内的最短路由路径——由isp和大型组织控制的IP (Internet protocol)地址的路由策略集合。
OSPF协议通常用于大型企业网络。它从可用的路由器收集链路状态信息到数据库中,以建立一个网络拓扑图,然后用来确定IP流量的最佳路由。
思科在一份声明中表示:“这个漏洞可能会让未经身份验证的攻击者完全控制OSPF自治系统(AS)域路由表、黑洞流量和拦截流量。安全咨询。
利用该漏洞不需要身份验证,可以通过单播或多播向易受攻击的设备发送特制的OSPF LSA类型1数据包来远程实现。数据包可能包含假路由,然后传播到整个OSPF作为域。
但思科表示,攻击者确实需要提前确定一些信息,以便发动成功的攻击。这些信息包括目标路由器的网络位置和IP地址,LSA数据库序列号和OSPF指定路由器(DR)的路由器ID。
该漏洞会影响运行大多数版本的思科IOS、IOS- xe和NX-OS操作系统的网络设备(如果配置为OSPF操作的话)。它还影响运行在思科自适应安全设备(ASA)、思科ASA服务模块(ASA- sm)、思科Pix防火墙、思科防火墙服务模块(FWSM)和思科ASR 5000运营商级平台上的软件。
思科的建议包含一个表,包含易受攻击的软件发布和更新,如果有的话。中描述了启用OSPF身份验证的说明,它可以减轻该漏洞单独的技术文件。