默认情况下,IP-in-IP协议路由任意流量

2020-06-02 17:38:27

#概述IP内IP封装(RFC2003 IP-in-IP)可被未经验证的攻击者滥用,通过易受攻击的设备意外路由任意网络流量。#说明IP-in-IP封装是RFC 2003中指定的隧道协议,允许将IP数据包封装在另一个IP数据包中。这与隧道模式下的IP GRE VPN和IPsec VPN非常相似,除了在IP-in-IP的情况下,流量始终是不加密的。如指定的那样,该协议解开内部IP数据包并通过IP路由表转发此数据包,这可能会提供对易受攻击设备可用的网络路径的意外访问。如果IP-in-IP设备接受从任何源到任何目的地的IP-in-IP数据包,而没有在指定源和目标IP地址之间进行显式配置,则认为该设备易受攻击。易受攻击的设备可能会滥用此意外数据处理错误(CWE-19)来执行反射DDoS,并在某些情况下用于绕过网络访问控制列表。由于转发的网络数据包可能无法被易受攻击的设备检查或验证,因此可能存在其他意外行为,攻击者可能会在目标设备或目标设备的网络环境中滥用这些行为。#影响未经认证的攻击者可以通过易受攻击的设备路由网络流量,可能导致反射式DDoS、信息泄露和绕过网络访问控制。#解决方案#应用更新CERT/CC建议您应用受影响的供应商提供的解决此问题的最新修补程序。查看下面的供应商信息,或联系您的供应商或供应商以获得具体的缓解建议。如果设备能够在其配置中禁用IP-in-IP,建议您在所有不需要此功能的接口中禁用IP-in-IP。敦促设备制造商在其默认配置中禁用IP-in-IP,并要求其客户在需要时明确配置IP-in-IP。#禁用IP-in-IP受影响的客户可以通过在上游路由器或其他设备过滤IP协议4数据包来阻止IP-in-IP数据包。请注意,此过滤适用于IP协议报头值4,而不是IP协议版本4(IPv4)。#概念验证(PoC)Yannay Livneh最初编写的概念验证在CERT/CC PoC仓库中是[available](https://github.com/CERTCC/PoC-Exploits/tree/master/cve-2020-10136)。#检测签名(IDS)此Snort IDS规则查找任何IP-in-IP流量,无论是否有意在易受攻击设备的上游网络路径上看到。可以修改此Snort或Suricata规则,以应用忽略策略允许路由IP-in-IP流量的源和目标的筛选器。`alert IP any any->any any(消息:“IP-in-IP隧道vu#636397 https://kb.cert.org”;ip_proto:4;sid:1367636397;rev:1;)`#感谢Yannay Livneh向我们报告此问题。这份文件是由Vijay Sarvepalli撰写的。