Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Beveiligingsadvies

Kansniveau is hoog Schadeniveau is hoog NCSC-2016-1021 [1.00]

DDoS-methode ontdekt voor firewalls

11-11-2016 - Onderzoekers hebben informatie gepubliceerd over de, door hen BlackNurse genoemde, aanval die impact heeft op verschillende type firewalls.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : DDoS-methode ontdekt voor firewalls
Advisory ID     : NCSC-2016-1021
Versie          : 1.00
Kans            : high
CVE ID          : 
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
Uitgiftedatum   : 20161111
Toepassing      : Cisco Adaptive Security Appliance (ASA)
                  Dell SonicWALL
Versie(s)       : Cisco ASA 55XX met 1 CPU
Platform(s)     : 

Samenvatting
   Onderzoekers hebben informatie gepubliceerd over de, door hen
   BlackNurse genoemde, aanval die impact heeft op verschillende type
   firewalls.

Gevolgen
   Een kwaadwillende kan de aanval mogelijk misbruiken om een
   Denial-of-Service te veroorzaken.

Beschrijving
   TDC SOC heeft een rapport gepubliceerd over de BlackNurse-aanval
   [1]. Zij hebben ICMP-paketten waargenomen die erop gericht zijn om
   firewalls te overbelasten. De aanval is niet hetzelfde als
   ICMP-flood-aanvallen waarbij grote hoeveelheden ICMP-paketten in
   korte tijd worden gestuurd. BlackNurse is gebasseerd op
   ICMP-paketten met Type 3 en Code 3 - Destination Unreachable, Port
   Unreachable. Volgens de onderzoekers is een beperkte bandbreedte (15
   á 18 MBit/s) voldoende om de aanval effectief uit te voeren.
   
   Er wordt op het moment nog onderzoek gedaan om te bepalen welke
   apparaten kwetsbaar zijn voor de aanval. Er is nog geen CVE-ID
   bekend gemaakt.
   
   Op het moment van schrijven is er bevestiging dat firewalls van het
   type Cisco ASA 55XX met 1 CPU kwetsbaar zijn. Nieuwere en grotere
   firewalls van dit type lijken niet kwetsbaar.
   
   Er is op het moment van schrijven ook bevestiging dat minimaal één
   type SonicWALL kwetsbaar is.
   
   Windows Firewall en pfSense- en iptables-firewalls zijn niet
   kwetsbaar.
   
   In het rapport hebben de onderzoekers een methode opgenomen om te
   testen of uw producten kwetsbaar zijn. Het NCSC heeft deze manier
   niet getest en raadt aan om, indien dit wordt getest, dit altijd in
   een gecontroleerde testomgeving te doen. Daarnaast vragen wij u om
   de resultaten te delen via info@ncsc.nl, zodat een duidelijker beeld
   kan worden gevormd over de ernst van de aanvalsmethode.
   
   [1] http://soc.tdc.dk/blacknurse/blacknurse.pdf

Mogelijke oplossingen
   De maatregelen die u kunt nemen om kwetsbare apparatuur te
   beschermen zijn op dit moment beperkt. Als er aanvullende
   maatregelen bekend worden, zullen wij dit beveiligingsadvies
   bijwerken.
   
   In het rapport hebben de onderzoekers SNORT-regels bekend gemaakt
   waarmee de aanval kan worden gedetecteerd.
   
   Eén van de suggesties die is gedaan, is het instellen van een
   access-control-list die ICMP-verkeer weigert. Mocht dit niet
   effectief zijn, dan is het te overwegen een extra apparaat voor de
   firewall te plaatsen die het ICMP-verkeer tegenhoudt en ander
   verkeer doorlaat. Het plaatsen van een ander type firewall voor de
   huidige firewall kan ertoe leiden dat bestaande diensten of
   functionaliteiten hier hinder van ondervinden.

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=5EeI
-----END PGP SIGNATURE-----

Over het NCSC

NCSCstill

CSBN 2017

CSBN 2017