Cisco Nexus 7000和7700交换机OTV缓冲区溢出漏洞 绿盟科技专家给出变通防护方案

简介:

2016年10月5日,思科官网发布了存在于Cisco Nexus 7000系列和7700系列交换机中的OTV技术存在缓冲区溢出漏洞,此漏洞编号为CVE-2016-1453。该漏洞将导致攻击者执行任意代码,或者思科交换机的全部权限。官方已经给出升级补丁,如果您的交换机暂时无法升级,绿盟科技的专家给出了变通防护方案。

该漏洞位于Overlay Transport Virtualization(OTV)技术的GRE隧道协议实现中,由于对OTV包头部的参数没有进行完整校验,导致攻击者可以通过向受影响设备的OTV接口发送精心构造的OTV UDP数据包来执行任意代码,最终获得目标设备的全部权限。当这两个系列的产品启用OTV技术时会受到该漏洞的影响。

受OTV漏洞(CVE-2016-1453)漏洞影响的产品

  • Nexus 7000 Series Switches
  • Nexus 7700 Series Switches

不受OTV漏洞(CVE-2016-1453)影响的产品

  • Multilayer Director Switches
  • Nexus 1000 Series Switches
  • Nexus 2000 Series Fabric Extenders
  • Nexus 3000 Series Switches
  • Nexus 3500 Series Switches
  • Nexus 4000 Series Switches
  • Nexus 5000 Series Switches
  • Nexus 9000 Series Switches in NX-OS mode
  • Nexus 9000 Series Switches in ACI mode
  • Unified Computing System (UCS) 6100 Series Fabric Interconnects
  • Unified Computing System (UCS) 6200 Series Fabric Interconnects

什么是OTV

OTV是一个在分布式地域的数据中心站点之间简化2层扩展传输技术的工业解决方案. 使用OTV技术可以方便地在两个站点部署Data Center Interconnect (DCI),而不需要改变或者重新配置现有的网络.此外,使用OTV技术可以将不同地域的数据中心站点构建成统一的虚拟计算资源群集,实现工作主机的移动性,业务弹性以及较高的资源利用性。

Nexus 7000系列在Cisco NX-OS 5.0(3)及其后续版本中引入OTV技术;Nexus 7700系列在Cisco NX-OS 6.2(2)及其后续版本中引入OTV技术。

如何验证OTV是否打开

用户可以通过命令show running | include otv来检查交换机是否开启了OTV,举例如下:

nxos-switch# show running-config | include otv

feature otv

otv join-interface ...

nxos-switch#

如果返回了上面的结果表明开启了OTV。详情请见以下链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-otv

OTV漏洞(CVE-2016-1453)规避方案

升级到最新版本

思科官方已经发布了对Cisco NX-OS的版本更新,建议用户升级到最新版本,下载链接如下:

https://software.cisco.com/download/navigator.html?mdfid=281717634&selMode=null

无法升级情况下的变通方案

作为变通方案,可以按如下方式设置ACL,从而丢弃恶意的OTV包:

IP access list OTV_PROT_V1

10 deny udp any any fragments

20 deny udp any any eq 8472 packet-length lt 54

30 permit ip any any

实施以上规则时,有以下几点需要注意:

  1. deny udp fragment访问控制项必须放在ACL的第一行;
  2. 在上述ACL例子中,序号10-20之间以及20-30之间可以添加其他访问控制项,只要不跟序号10和20冲突即可;
  3. 该ACL必须配置为OTV连接接口的入口ACL;
  4. 上述ACL例子中作为目的地址的“any”,可以以多条访问控制项的形式替换为多个具体的OTV接口IP地址。

绿盟科技声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。



原文发布时间:2017年3月24日

本文由:绿盟科技 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/cisco-nexus-7000-and-7700-switch-otv-buffer-overflow-vulnerability-cve-2016-1453

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
5月前
|
算法 网络协议 Linux
【Cisco Packet Tracer】交换机的自学习算法
【Cisco Packet Tracer】交换机的自学习算法
176 0
|
5月前
|
网络协议 Linux 网络架构
【Cisco Packet Tracer】集线器和交换机区别
【Cisco Packet Tracer】集线器和交换机区别
192 1
|
算法 网络虚拟化 C语言
【Cisco Packet Tracer】交换机划分Vlan实验
文章目录 一、前期准备 二、实验要求 三、搭建局域网 四、配置pc端的ip 五、配置VLAN 六、设置端口模式trunk 七、PING检验是否通路
|
网络虚拟化 iOS开发
计算机网络实验(思科模拟器Cisco Packet Tracer)——交换机配置以及虚拟局域网VLAN
计算机网络实验(思科模拟器Cisco Packet Tracer)——交换机配置以及虚拟局域网VLAN
计算机网络实验(思科模拟器Cisco Packet Tracer)——交换机配置以及虚拟局域网VLAN
|
消息中间件
RabbitMQ消息路由失败的处理方案(回调与备份交换机AE)
RabbitMQ消息路由失败的处理方案(回调与备份交换机AE)
RabbitMQ消息路由失败的处理方案(回调与备份交换机AE)
|
数据中心 芯片 网络虚拟化
Arista 7500E系列交换机与SFP+/QSFP+光模块搭配方案
Arista 7500E系列交换机与10G SFP+或40G QSFP+光模块搭配方案 交换机(Switch)意为“开关”是一种用于电(光)信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。
1061 0
|
网络安全 网络性能优化 网络虚拟化
普联TP-LINK TL-SL5428交换机对应的光模块型号及典型应用方案
普联技术有限公司(以下简称"TP-LINK")是全球领先的网络通讯设备供应商。自1996年成立以来,TP-LINK始终致力于为大众提供最便利的本地局域网络互联和Internet接入手段,为大众在生活、工作、娱乐上日益增长的网络使用需求,提供高品质、高性能价格比的全面设备解决方案。
1049 0
|
大数据 数据中心
思科Nexus 9508交换机QSFP+高速线缆直连首选方案
Cisco Nexus 9508是Cisco Nexus 9500系列中的一款模块化交换机,具有高性能和高密度的特性,适合40G和100G以太网应用。此外,Cisco Nexus 9508还是第一代Cisco Nexus 9000系列交换机之一,常用于大数据、高性能计算等应用。
1026 0
|
存储 网络虚拟化
CloudStack+XenServer详细部署方案 交换机配置和服务器连线
CloudStack+XenServer详细部署方案(2):交换机配置和服务器连线   本文将根据设计文档, 对交换机进行配置和服务器网络连线方式进行说明. Step1.交换机规划,  根据功能将交换机端口分为三个部分: 管理区域(交换机1 – 16 口):  用于XenServer和CloudStack的管理流量, 和VM 在主机间迁移产生的流量.
1022 0
|
存储 网络虚拟化
CloudStack+XenServer详细部署方案(2):交换机配置和服务器连线
CloudStack+XenServer详细部署方案(2):交换机配置和服务器连线 本文将根据设计文档, 对交换机进行配置和服务器网络连线方式进行说明. Step1.交换机规划,  根据功能将交换机端口分为三个部分: 管理区域(交换机1 – 16 口):  用于XenServer和CloudStack的管理流量, 和VM 在主机间迁移产生的流量.
1310 0