研究人員宣稱，最新的知名漏洞BlackNurse，是一種拒絕服務攻擊，能夠憑借僅僅15到18Mbps的惡意ICMP數(shù)據(jù)包就將防火墻和路由器干掉。

該攻擊會濫用Internet控制報文協(xié)議（ICMP）第3類代碼為3的“端口不可達”消息，并且已經(jīng)發(fā)現(xiàn)數(shù)起針對思科路由器的攻擊事件，以及針對包括ZyXEL、Sonicwall以及Palo Alto Networks等供應商的路由器或防火墻的攻擊事件。發(fā)現(xiàn)這一漏洞的安全研究人員Lenny Hansson和Kenneth J rgensen宣稱該攻擊可以僅用4Mbps的流量即可中斷Cisco ASA 55xx系列的路由器。

研究人員在BlackNurse的網(wǎng)站上寫到：“我們發(fā)現(xiàn)思科ASA 55xx系列防火墻產(chǎn)品的問題最大，即使選擇拒絕所有通向防火墻的ICMP通訊，防火墻還是會受到僅用4Mbit就可以造成的DOS（拒絕服務）攻擊。”

TDC的研究人員指出，要延緩BlackNurse攻擊，可通過簡單地配置將可信任的源加入允許配置的白名單中即可。通過在廣域網(wǎng)上將ICMP第3類代碼為3進行無效化，能夠輕易地緩解此種攻擊的危害。這也是我們目前所了解的最佳的緩解辦法。

盡管研究人員們相信漏洞是基于設備控制數(shù)據(jù)包的方式，問題發(fā)生的源頭目前仍不清楚。“我們當前只發(fā)現(xiàn)基于硬件的防火墻存在問題，這些數(shù)據(jù)包會直接送到CPU”，Hansson和J rgensen兩位研究人員通過郵件如是告訴本站。

然而，并非所有人都認同BlackNurse可能帶來威脅這一觀點。SANS技術學會的研究院院長Johannes Ullrich在一篇博客中寫到：“目前尚不清楚為何這些特殊的ICMP數(shù)據(jù)包需要如此頻繁地通過CPU進行處理，但在我看來，很可能是由于防火墻試圖對這些數(shù)據(jù)包進行狀態(tài)分析。ICMP不可達數(shù)據(jù)包中包含了有效載荷中造成錯誤的開頭幾字節(jié)的數(shù)據(jù)，防火墻能夠利用這些有效載荷去判斷錯誤是否是由過去留在網(wǎng)絡中的合法數(shù)據(jù)包造成，這種分析過程需要消耗較多的資源”。

思科在一份給本站的聲明中淡化了威脅的程度，認為：“這一問題并不針對特定供應商，并且該攻擊并不導致安全漏洞，在已知的攻擊事件中，提到的ASA設備能夠繼續(xù)執(zhí)行和配置安全策略，沒有出現(xiàn)妥協(xié)。對于研究中所提到的ASA系列防火墻，其面向DoS攻擊的保護是多方面的，而且我們與消費者們密切合作，確保上游網(wǎng)絡中的DoS安全，并將其作為最佳實踐”。

Palo Alto Networks向其客戶發(fā)布的一份有關BlackNurse的聲明中敘述到，“我們已經(jīng)針對該問題進行調(diào)查，并且向購買Palo Alto Networks下一代防火墻的客戶解釋，該問題僅僅會影響很特殊的，有違最佳實踐的非通常情況下的應用場景”。

Palo Alto為其客戶提供的免受BlackNurse的最佳辦法，包括配置DoS保護文件來阻止ICMP以及ICMPv6的數(shù)據(jù)包洪泛攻擊，然而該公司也警告說洪泛攻擊可能采用任意協(xié)議類型。

“施展攻擊并不需要大量的帶寬”，Hansson和J rgensen告訴本站，他們注意到如果將BlackNurse與類似上個月摧毀Dyn DNS服務的Mirai DDoS這樣的僵尸網(wǎng)絡結(jié)合起來，將引起很大的麻煩，因為這種攻擊能夠通過物聯(lián)網(wǎng)設備發(fā)起”，我們已經(jīng)見識了面向思科設備的4（Mpbs）大小的拒絕服務攻擊。上傳速率很小的物聯(lián)網(wǎng)設備能夠從僵尸網(wǎng)絡中襲來。這意味著像Mirai的僵尸網(wǎng)絡能夠一次性攻擊更多的目標。這會比1TBps的單次單一目標攻擊更具有威脅。

至于攻擊的來源，研究人員說：“現(xiàn)在我們已經(jīng)發(fā)現(xiàn)，相信這種攻擊是利用了某種分布式拒絕服務的攻擊方式。這是基于我們了解到的客戶所遭遇的混合攻擊類型總結(jié)所而來的。”