Corpus Solutions

24. 11. 2016

Jedná se o ICMP útok, který je schopen provést DOS mnoha známých firewallů. Většina ICMP útoků je založena na ICMP packetu typu 0 a kódu 8 (označováno jako ping flood attack).

Oproti tomu BlackNurse je založen na ICMP packetu typu 3 a kódu 3 (Destination Unreachable – Port Unreachable).

Pokud má uživatel povoleno zasílat do sítě tento druh ICMP packetu, může se stát tento typ útoku velice efektivní.

K úspěšnému provedení stačí, aby rychlost datové linky překročila 15 Mbit/s. Cílem tohoto útoku není zahltit síť velkým množstvím packetů. Naopak dopad tohoto útoku je na CPU firewallu.

Během útoku vzroste zatížení CPU firewallu což vede k nedostupnosti síťového připojení pro všechny segmenty, které komunikují skrze firewall.

Klasifikace zranitelnosti

• TLP: AMBER
• TLP:WHITE

Zranitelné systémy

• Cisco ASA 5506, 5515, 5525 (default settings)
• Cisco ASA 5550 (legacy) and 5515-X (latest generation)
• Cisco Router 897 (can be mitigated)
• SonicWall (misconfiguration can be changed and mitigated)
• Some unverified Palo Alto
• Zyxel NWA3560-N (wireless attack from LAN side)
• Zyxel Zywall USG50

Reference

• http://blacknurse.dk/
• http://thehackernews.com/2016/11/dos-attack-server-firewall.html
• https://github.com/jedisct1/blacknurse

Opatření vedoucí ke zmírnění důsledků BlackNurse

Za účelem zmírnění BlackNurse útoku na firewally a dalších zařízení, doporučujeme uživatelům konfigurovat seznam důvěryhodných zdrojů, pro které jsou ICMP packety typu 3 a kódu 3 povoleny. Nicméně, nejlepší způsob, jak zmírnit útok je jednoduše zakázat ICMP typu 3 Kód 3 na vnějších rozhraních firewallů.

U systémů ve správě Corpus Solutions provedeme v nejbližší době analýzu zranitelnosti a případně učiníme opatření pro eliminaci tohoto problému. Zákazníky budeme průběžně informovat prostřednictvím standardních komunikačních mechanizmů.

Tip: všechny Security Advisory od Corpus Solutions můžete odebírat jako RSS kanál