思科警告这些Nexus交换机存在严重的安全漏洞

　　思科已警告使用运行其NX-OS软件的Nexus交换机的客户安装更新，以解决一个严重漏洞，该漏洞允许远程攻击者绕过网络访问控制，将恶意互联网流量路由到内部网络。
　　这个bug被追踪为CVE-2020-10136，可以用来在受影响的Nexus交换机上触发拒绝服务，或者，更令人担忧的是，绕过输入访问控制列表(ACLs)来过滤进入的互联网流量，然后将流量从攻击者的机器路由到目标的内部网络。
　　一些思科公司广泛使用的Nexus交换机都存在一个漏洞，该漏洞会导致设备＂意外地将指定到本地配置的IP地址的IP包中的IP加密处理，即使在没有隧道配置的情况下也是如此＂。
　　IETF RFC 2003规范的IP-in-IP隧道协议允许将IP包包装或封装在其他IP包中，而通信流始终保持未加密状态。
　　美国CERT协调中心(CERT/CC)的Vijay Sarvepalli解释说，该协议解开内部IP包并通过IP路由表转发，但如果设备不受限制地接受来自任何地方的这些包，就会变得脆弱。
　　Sarvepalli写道:＂如果一个IP-in-IP设备接受任何源到任何目的地的IP-in-IP数据包，而没有在指定的源和目的地IP地址之间进行显式配置，那么它就被认为是脆弱的。＂
　　这就是影响多种支持IP中IP数据包封装和解密的思科Nexus NX-OS设备的问题:除非手动配置ACL入站隧道控制，否则这些设备不打算解密和处理任何进入设备隧道接口的IP流量中的IP。
　　＂成功的利用可能会导致受影响的设备意外地将IP包中的IP解密，并转发内部IP包。＂这可能导致IP包绕过在受影响设备上配置的输入访问控制列表(ACLs)或在网络其他地方定义的其他安全边界，＂Cisco指出。
　　＂在泄漏之前，在受影响设备的入站接口上配置的任何输入ACL都要针对载波IP包上的IP字段进行评估;它不会对乘客IP包进行评估，＂思科进一步解释说。
　　这可能导致乘客IP包绕过预期的ACL过滤。这也可能允许乘客IP包绕过其他安全边界，这些边界可能在网络路径中被定义到受影响的设备，在网络过滤技术的存在，只检查外部IP头，而不是内部IP包。
　　除此之外，反复利用漏洞的攻击者可能会导致设备的网络堆栈崩溃，从而导致受影响的交换机上的服务被拒绝。
　　思科给这个漏洞的严重程度评分为8.6(满分为10分)。
　　CERT/CC表示，该漏洞可能导致反射性分布式拒绝服务攻击、信息泄漏和网络控制绕过。
　　对于那些不能立即安装更新的用户，CERT/CC的Sarvepalli说，受影响的用户可以通过过滤上游路由器或其他设备上的IP协议数据包来阻止IP-in-IP数据包。Sarvepalli强调，这种过滤针对的是IP协议头值为4，而不是IPv4。
　　思科也建议采取这种措施，但首先建议客户使用＂基础设施访问控制列表(iACLs)，只允许严格要求的管理和控制流向受影响设备的飞机流量＂。
　　向思科报告该漏洞的安全研究员Yannay Livneh在GitHub上发布了概念验证利用代码，供管理员测试网络上的Nexus设备是否存在漏洞。该代码允许管理员验证设备是否支持从任意源到任意目的地的ip中封装。