思科系统公司(Cisco Systems)表示,攻击者可能会破坏或拦截其许多网络产品的通信,除非对这些产品运行的软件进行新的安全升级。
该问题将影响OSPF (Open Shortest Path First)路由协议及其LSA数据库的实现。该协议用于确定自治系统(AS)内部的最短路由路径。AS是由isp和大型组织控制的IP (Internet protocol)地址的路由策略集合。
OSPF是大型企业网络中常用的协议。它将可用路由器的链路状态信息收集到一个数据库中,以便建立一个网络拓扑图,然后用于确定IP流量的最佳路由。
“这个漏洞可以让未经认证的攻击者完全控制OSPF自治系统(AS)域路由表、黑洞流量和拦截流量,”思科在一份声明中说安全咨询.
利用该漏洞不需要身份验证,只需通过单播或组播方式向脆弱设备发送特定的OSPF LSA 1报文即可实现远程攻击。这些数据包可能包含错误的路由,然后传播到整个OSPF AS域。
然而,攻击者确实需要提前确定一些信息,以便发起成功的攻击,思科说。该信息包括目标路由器的网络位置、IP地址、LSA数据库序列号和DR (OSPF Designated router)的路由器ID。
思科IOS、IOS- xe和NX-OS版本的网络设备如果配置了OSPF操作,则会受到此漏洞的影响。它也影响思科自适应安全设备(ASA)、思科ASA服务模块(ASA- sm)、思科Pix防火墙、思科防火墙服务模块(FWSM)和思科ASR 5000运营商级平台上运行的软件。
思科的报告中包含了一个表,表中列出了易受攻击的软件版本以及可用的更新(如果有的话)。启用OSPF认证的说明,可以缓解该漏洞,请参见单独的技术文件.