اکسپلویت آسیب‌پذیری پروتکل IP-in-IP tunneling و حمله DoS

چندین محصول سیسکو و برندهای دیگر دارای باگ امنیتی در پروتکل IP-in-IP tunneling یا Encapsulation IP هستند که منجربه دور زدن محدودیت‌های امنیتی این تجهیزات می‌گردد.

این آسیب‌پذیری منجربه مسیریابی ترافیک دلخواه از تجهیز آسیب‌پذیر می شود. حمله کننده بدون احراز هویت می‌تواند تغییر مسیر ترافیک از طریق اینترفیس شبکه افشا شده را انجام دهد که می‌تواند منجربه DDoS انعکاسی، نشت اطلاعات و دور زدن کنترل دسترسی تجهیز گردد.

شناسه آسیب‌پذیری:

CVE-2020-10136

درجه آسیب‌پذیری:

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Base Score: 5.3 Medium

سیستم‌های آسیب‌پذیری:

  1. Nexus 1000 Virtual Edge for VMware vSphere (CSCvu10050)
  2. Nexus 1000V Switch for Microsoft Hyper-V (CSCvt67738)
  3. Nexus 1000V Switch for VMware vSphere (CSCvt67738)
  4. Nexus 3000 Series Switches (CSCun53663)
  5. Nexus 5500 Platform Switches (CSCvt67739)
  6. Nexus 5600 Platform Switches (CSCvt67739)
  7. Nexus 6000 Series Switches (CSCvt67739)
  8. Nexus 7000 Series Switches (CSCvt66624)
  9. Nexus 9000 Series Switches in standalone NX-OS mode (CSCun53663)
  10. UCS 6200 Series Fabric Interconnects (CSCvu03158)
  11. UCS 6300 Series Fabric Interconnects (CSCvt67740)

نیازمندی تعامل کاربر: خیر

سال شناسایی: ۲۰۲۰

توضیحات:

پروتکل IP-in-IP encapsulation در RFC 2003 اجازه جاسازی (Encapsulation)  پکت IP در داخل پکت IP دیگر را می‌دهد. این فرایند شبیه IPSEC VPN در مد تونل است با این تفاوت که ترافیک رمز نشده است. این پروتکل، بسته IP داخلی را باز می‌کند و از طریق جدول مسیریابی، پکت را ارسال می‌کند. در نتیجه باعث دسترسی ناخواسته به مسیرهای شبکه در تجهیز آسیب‌پذیر می شود.

یک تجهیز IP-in-IP آسیب‌پذیر در نظر گرفته می‌شود اگر که بسته را از هر منبعی به هر مقصدی را قبول کند بدون اینکه تنظیمات خاصی بین مبدا و مقصد آدرس IP انجام شود. خطای پردازش اطلاعات ناخواسته (CWE-19)  توسط این تجهیز آسیب‌پذیر اجازه اجرای  DDoS انعکاسی را می‌دهد و در بعضی از سناریو‌ها باعث دور زدن کنترل دسترسی می‌شود. دلیل این باگ امنیتی به خاطر بررسی و پردازش نکردن بسته های IP-in-IP است که برای آدرس لوکال پیکربندی شده اند. حمله کننده ناشناس می‌تواند توسط ارسال بسته های دلخواه به تجهیز آسیب پذیر، مشکلات امنیتی را ایجاد نماید. در زمان اکسپلویت این آسیب پذیری، مهاجم می تواند منجربه تخریب عملکرد پردازش استک و ریستارت چندباره تجهیز گردد که در نهایت شرایط DoS به وقوع می پیوندد.

CERT/CC توصیه کرده است که آخرین به‌روز رسانی امنیتی برای این آسیب‌پذیری که بر روی تولیدکننده های متفاوت مانند Digi International، HP و Treck اثر گذاشته است انجام شود. مرور اطلاعات تولیدکننده یا تماس با تولیدکننده برای محدود کردن تجهیزات آسیب‌پذیر الزامی است اگر در پیکربندی تجهیزات آسیب‌پذیر، امکان غیرفعال کردن IP-in-IP را داشته باشد این کار توصیه می‌شود و تمام ویژگی‌های مربوط به IP-in-IP که مورد نیاز اساسی نیست غیرفعال شوند. غیرفعال بودن IP-in-IP در شرکت سازنده به شکل پیش فرض است و مشتری باتوجه به تنظیمات مورد نیاز خود، بعد از تنظیم مورد نیاز دستگاه مبادرت به استفاده از IP-in-IP کند.

برای شناسایی این باگ توسط Snort IDS در ترافیک، می بایست به دنبال ترافیک IP-in-IP در مسیر upstream تجهیز بود. و می‌توان ترافیک‌هایی که منبع و مقصد آن‌ها معتبر هستند را از این قانون مجزا ساخت تا نادیده بگیرد و برای این کار می‌توان از کد زیر استفاده کرد:

alert ip any any -> any any (msg: "IP-in-IP Tunneling VU#636397 https://kb.cert.org"; ip_proto:4; sid: 1367636397; rev:1;)

منابع:

  1. security affairs
  2. NVD CVE-2020-10136
  3. CERT Coordination Center

در صورت تمایل به اشتراگ بگذارید