• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:486

●重點摘要： 1. 部分網路設備存在對於網路控制訊息協定（ICMP）封包處理之弱點，使得攻擊者可藉由持續傳送「無法到達目的地且無法存取傳輸埠」的ICMP封包，造成網路設備癱瘓，進而導致服務中斷。 2. 2016年11月8日，丹麥的資安業者TDC Security Operations Center公開一項名為黑護士(BlackNurse)的網路攻擊手法，根據報告指出，該攻擊只需透過少量「無法到達目的地且無法存取傳輸埠」（ICMP Type 3 Code 3）之ICMP封包，即可造成部分防火牆或網路設備CPU過載，持續攻擊將造成服務中斷，導致內部使用者無法存取外部網路。 3. 目前已知受影響的網路設備廠牌與型號如下： 1.Cisco ASA 5505、5506、5515、5525及5540 2.Cisco 6500 routers with SUP2T與Netflow v9 on the inbound interface 3.Cisco ASA 5550與5515各系列 4.Cisco Router 897 5.SonicWall 6.Palo Alto 5050 7.Zyxel NWA3560-N 8.Zyxel Zywall USG50 9.Fortinet v5.4.1 10.Fortigate units 60c與100D ●TWCERT/CC建議各機關可自行或聯絡設備維護廠商，利用ICMP工具，例如hping3工具，執行「hping3 -1 -C 3 -K 3 -i u20 <target ip>」或「hping3 -1 -C 3 -K 3 --flood <target ip>」指令進行測試，其中<target ip>為受測之網路設備。 若在測試過程中，造成內部使用者無法連線到外部網路，即代表網路設備受此漏洞影響。 請參考以下建議： 1.建議機關評估於防火牆或閘道器設備對外界面網卡(WAN端)設定阻擋所有ICMP Type 3封包，若此影響IPsec或PPTP連線時，僅再額外開放ICMP Type 3 code 4 (fragmentation needed)之封包。 2.若設備廠牌為Palo Alto，則請參考Palo Alto官方網頁(http://researchcenter.paloaltonetworks.com/2016/11/note-customers-regarding-blacknurse-report/)之建議措施。 3.其餘設備廠牌目前尚未發布建議措施，所以仍請各機關密切注意各廠牌官方網頁之更新資訊。

參考連結：

http://researchcenter.paloaltonetworks.com/2016/11/note-customers-regarding-blacknurse-report/
http://www.ithome.com.tw/news/109565
http://soc.tdc.dk/blacknurse/blacknurse.pdf
https://tools.cisco.com/security/center/publicationListing.x
https://www.zyxel.