修复CVE-2024-20267:Cisco NX-OS中MPLS封装IPv6处理的高危DoS漏洞

qife122
3 阅读10分钟

如何修复CVE-2024-20267 — Cisco NX-OS中MPLS封装IPv6处理的高危DoS漏洞?

思科已披露了其NX-OS软件在处理MPLS封装的IPv6流量时存在一个高严重性的拒绝服务(DoS)漏洞,该漏洞可能允许未经身份验证的远程攻击者在受影响设备上造成拒绝服务条件。此漏洞被追踪为 CVE-2024-20267,其CVSS评分为8.6分(满分10分)。此缺陷源于在处理入口MPLS帧及其封装的特制IPv6数据包时,缺乏适当的错误检查,攻击者可以通过向目标设备启用了MPLS的接口发送此类特制数据包来利用此漏洞。成功利用此漏洞可能导致netstack进程意外重启,进而导致设备停止处理网络流量或重新加载,从而在网络中造成拒绝服务状况。鉴于该漏洞的严重性,企业修复CVE-2024-20267漏洞至关重要。在本篇博文中,我们将讨论如何修复Cisco NX-OS中MPLS封装IPv6流量处理过程中的这个DoS漏洞

目录

  • Cisco NX-OS软件简介
  • CVE-2024-20267 摘要
  • CVE-2024-20267 受影响的产品
  • 如何检查您的Cisco Nexus交换机是否受CVE-2024-20267影响?
  • Cisco软件检查工具
  • 如何修复CVE-2024-20267 — Cisco NX-OS中MPLS封装IPv6处理的高危DoS漏洞?

Cisco NX-OS软件简介

Cisco NX-OS是一款数据中心级操作系统,专为实现最大可扩展性和应用程序可用性而构建。它为业界领先的Cisco Nexus系列交换机提供支持。NX-OS的一些关键特性包括:

  • 用于高可用性的模块化架构
  • 全面的虚拟化功能
  • 强大的安全和身份管理
  • 具有开放API的自动化和可编程性
  • 支持BGP、OSPF、ISIS等标准协议

NX-OS为构建可扩展、安全且自动化的下一代数据中心网络奠定了基础。更多详情,请参阅 Cisco NX-OS 概述

CVE-2024-20267 摘要

  • CVE ID: CVE-2024-20267
  • 描述: Cisco NX-OS软件在处理MPLS封装的IPv6流量时存在一个漏洞,可能允许未经身份验证的远程攻击者在受影响设备上造成拒绝服务(DoS)状况。
  • CVSS 评分: 基础分 8.6
  • CVSS 向量: 公告中未提供

CVE-2024-20267 是 Cisco NX-OS 软件(即 Cisco Nexus 数据中心交换机的网络操作系统)中处理 MPLS 封装的 IPv6 流量时存在的拒绝服务 (DoS) 漏洞。此缺陷源于在处理包含特制 IPv6 数据包的入口 MPLS 帧时,缺乏适当的错误检查。

该漏洞可能允许未经身份验证的远程攻击者通过向目标设备的 MPLS 启用接口发送封装在 MPLS 帧内的特制 IPv6 数据包来利用此问题。成功利用此漏洞可能导致 netstack 进程意外重启,从而导致设备停止处理网络流量或重新加载,进而造成拒绝服务状况。

要利用此漏洞,攻击者必须满足以下条件:

  • 受影响设备必须运行易受攻击的 Cisco NX-OS 软件版本。
  • 设备必须配置了 MPLS 并且在至少一个接口上使用了 MPLS。

值得注意的是,攻击者可以在距离目标设备多跳之外生成特制的 IPv6 数据包,然后将其封装在 MPLS 内。当 NX-OS 设备处理该数据包时,就可能发生拒绝服务状况。

CVE-2024-20267 受影响的产品

Cisco安全公告指出,以下 Cisco 产品如果运行的是易受攻击的 Cisco NX-OS 软件版本并且配置了 MPLS,则会受到此拒绝服务漏洞 (CVE-2024-20267) 的影响:

  • Nexus 3000 系列交换机
  • Nexus 5500 平台交换机
  • Nexus 5600 平台交换机
  • Nexus 6000 系列交换机
  • Nexus 7000 系列交换机
  • 运行于独立 NX-OS 模式的 Nexus 9000 系列交换机

为了确定设备是否配置了 MPLS,公告建议使用 “show mpls interface detail” CLI 命令。如果输出中包含 “MPLS operational”,则该设备存在漏洞。

思科已确认以下产品不受此漏洞影响:

  • Firepower 1000, 2100, 4100, 9300 系列
  • MDS 9000 系列多层交换机
  • Nexus 1000 Virtual Edge for VMware vSphere
  • Nexus 1000V Switch for Microsoft Hyper-V
  • Nexus 1000V Switch for VMware vSphere
  • 运行于 ACI 模式的 Nexus 9000 系列 Fabric 交换机
  • Secure Firewall 3100, 4200 系列
  • UCS 6200, 6300, 6400, 6500 系列 Fabric Interconnects

该公告并未像原始文本中关于 CVE-2024-20321 那样提及特定的产品 ID。相反,它列出了受影响的产品系列,并提供了确定是否配置了 MPLS 的指南,这将是使设备易受攻击的条件。

如何检查您的 Cisco Nexus 交换机是否受 CVE-2024-20267 影响?

要确定您的 Cisco Nexus 设备是否易受 CVE-2024-20267 攻击,您需要验证以下内容:

  1. 检查设备是否运行受影响的 Cisco NX-OS 软件版本。
  2. 确认设备是否配置了 MPLS 并且在至少一个接口上使用了 MPLS。

在 Cisco NX-OS 软件 CLI 上使用此命令验证 MPLS 配置:

nxos-switch# show mpls interface detail

如果任何接口的输出中包含 “MPLS operational”,则该设备可能易受 CVE-2024-20267 攻击。以下是指示存在漏洞的输出示例:

Interface Ethernet1/4/1:
    ldp enabled
    MPLS operational
    Label spaceid 0x10000001
    MPLS sub-layer Ethernet1/4/1-mpls layer(0x26000001)

如果设备上 “show mpls interface detail” 命令无效,则可以认为其不易受攻击。

此外,您可以使用 “show install active” 命令显示设备上处于活动状态的软件包。可以将此信息与 Cisco 安全公告中提供的受影响软件版本列表进行比较,以确定您的设备是否运行了易受攻击的 NX-OS 版本。

该公告指出,如果 Nexus 3000、5500、5600、6000、7000 和 9000 系列交换机(运行于独立 NX-OS 模式)使用了易受攻击的 NX-OS 版本并配置了 MPLS,则会受到此漏洞影响。运行于 ACI 模式的 Nexus 9000 系列交换机不受影响。

Cisco 软件检查工具

Cisco 软件检查器 是一个有价值的基于 Web 的工具,可帮助组织识别哪些 Cisco 安全公告可能适用于其特定的软件版本。此实用程序使用户能够输入特定的软件版本,并返回与该版本关联的公告列表,以及包含已识别漏洞修复程序的最早版本的信息。

通过使用 Cisco 软件检查器,组织可以快速确定其已安装的 Cisco 产品对已知漏洞的暴露程度。此信息对于确定修补工作的优先级以及确保及时应用必要的软件更新以降低安全风险至关重要。

要使用该工具,只需导航到 Cisco 软件检查器页面,然后输入您要检查的软件版本。您可以从下拉菜单中选择产品系列和版本,或输入 Cisco 设备上 show version 命令的输出。然后,该工具将生成一份报告,列出相关的安全公告、受影响的软件版本以及最早的修复版本。

需要注意的是,Cisco 软件检查器仅提供通过 Cisco 安全公告公开发布的漏洞信息。它可能不包含内部发现的问题或通过其他渠道报告的问题的详细信息。因此,虽然该工具是管理 Cisco 软件漏洞的重要资源,但应与其他漏洞管理实践和定期软件维护流程结合使用。

CVE-2024-20267 的上下文中,Cisco 软件检查器可用于快速识别特定的 Cisco NX-OS 软件版本是否受到 MPLS 实现中此高危 DoS 漏洞的影响。通过主动检查其软件版本,组织可以迅速采取行动解决此安全漏洞,并保护其网络免受潜在的利用。

如何修复 CVE-2024-20267 — Cisco NX-OS 中 MPLS 封装 IPv6 处理的高危 DoS 漏洞?

为解决 CVE-2024-20267 漏洞,Cisco 已为受影响的产品发布了免费软件更新。拥有有权获得定期软件更新的有效服务合同的组织应通过其常规软件更新渠道获取修复程序。需要注意的是,客户只能安装并期望获得他们已购买许可的软件版本和功能集的支持。

Cisco 已为某些受影响的产品提供了软件维护升级 (SMU):

软件维护升级 (SMU)

SMU 是一个可以在系统上安装而无需完全升级镜像的软件包,从而可以更快、更少中断地部署必要的安全修复程序。

要安装 SMU 并修复 Cisco NX-OS 中 MPLS 封装的 IPv6 处理过程中的 DoS 漏洞,请按照以下步骤操作:

  1. Cisco.com 的软件下载页面 为您的受影响设备和软件版本下载相应的 SMU 软件包。
  2. 使用 install add 命令将 SMU 软件包添加到设备。
  3. 使用 install activate 命令激活 SMU 软件包。
  4. 使用 show install active 命令验证 SMU 软件包是否成功激活。
  5. 使用 install commit 命令提交更改,使 SMU 软件包在设备重新加载后仍然有效。

有关在特定 Cisco NX-OS 设备上执行软件维护升级的详细说明,请参阅相应配置指南的执行软件维护升级部分。

至关重要的是要注意,CVE-2024-20267 没有可用的解决方法。因此,强烈建议组织将其易受攻击的设备升级到修复后的软件版本,或尽快安装必要的 SMU,以减轻此高危漏洞带来的风险。

请记住定期监控 Cisco 安全公告并使用 Cisco 软件检查器,以随时了解新披露的漏洞和可用的软件修复程序。保持主动的漏洞管理方法对于确保您的 Cisco NX-OS 网络基础设施的安全性和可靠性至关重要。

我们希望这篇文章能帮助您了解如何修复 CVE-2024-20267 —— Cisco NX-OS 中 MPLS 封装的 IPv6 处理过程中的一个高危 DoS 漏洞。感谢您阅读这篇文章。请分享这篇文章,帮助保护数字世界。

访问我们的网站 thesecmaster.com,以及我们的社交媒体页面 Facebook、LinkedIn、Twitter、Telegram、Tumblr、Medium 和 Instagram,并订阅以接收此类更新。

这篇文章最初发布在 thesecmaster.com。

我们感谢一直支持我们工作的每一个人,并请求您查看 thesecmaster.com 以获取更多此类文章。FINISHED CSD0tFqvECLokhw9aBeRqjfxZ4PrBeJ32jg1EUzPRKM24FNN5LgzP7a8BonQKb9iIcJMKkRKIRv/1DMeQFQpyVty8LsyWcL9Z6t5C96xk+LPfL+9U/HRS8SChmE62yV4rfc1ICVa++kWms8zV05VLE5d5gmsQWYs5pR/h/qoFnArUoilGMpsLYlucXPQwpga

avatar
文章
阅读
粉丝