尽管思科公司的网间网操作系统(IOS)近来出现的一系列安全漏洞被专家们认为不会造成严重后果,这些漏洞带给企业网络的危险也较为有限,但它还是受到了强烈的抨击。
IOS是网络界巨头Cisco路由器和新款交换机采用的软件系统,通过它可以对设备进行配置和管理。在过去的几周内,IOS受到了一系列安全缺陷的攻击,其包括:
两周前,Skinny Call控制协议漏洞被发现,其可以使恶意用户进行拒绝服务(DoS)攻击。由于这个漏洞,运行IOS version12的设备可以通过特殊设计的控制协议信息对另一易受攻击的网络设备进行重载。
上周报告的MPLS包处理漏洞也可以被用来进行Dos攻击。(据Secunia称)这一危害较低的漏洞只影响IOS version12,但是无需开启对MPLS(多协议标签交换)的支持就可以利用这一漏洞。
IOS version12中的中级危险漏洞会在恶意用户使设备重载特殊构造的IPv6数据包时,向DoS攻击敞开大门。当然,只有在设备被设置为可以处理IPv6数据包时才会受影响。
上周公布的最新的漏洞影响到五个不同的主要版本,它的主要问题出在处理登记BGP邻居关系出现变化时处理队列中的边界网关协议数据包。尽管据Secunia称,其危险性较低,但恶意用户可以利用这一漏洞通过从一个配置的、被信任的对等设备发送特殊构造的BGP数据包以进行DoS攻击。
Cisco的发言人John Noh称,所有这四个漏洞都是在销售商进行例行测试过程中发现的,Cisco已经发布了针对受影响产品的补丁或升级选项。
Noh说,这些漏洞彼此并无关联, Cisco之所以上周选择同时发布其中三个的信息是为了使客户可以灵活决定他们的升级方式以避免可能出现的重复升级。
Noh称Cisco不打算按照严重性将IOS漏洞进行排序,Cisco建议客户按照其提供的建议报告自己作出对这些漏洞严重性的判断。
但是,这些漏洞显示出IOS在许多方面存在缺陷,并引发了还存在多少尚未被发现的漏洞的疑问。
Zeus Kerravala是位于波士顿的研究公司Yankee Group的副总裁,他说,尽管存在漏洞,企业们不应恐慌。只要企业监控它们的网络,并防范潜在的入侵,其网络的危险性可以相对较低。
Kerravala说:“当你使用象IOS这样被广泛采用的软件系统的时候,它总会存在一些程序缺陷。我认为这是在IOS不断成熟的过程中我们会一直看到的事情,但是,企业可以做的是采用配置管理系统。”
各个企业在不同的设备中采用几十甚至数百种不同版本的IOS是很正常的,在过去的时间里,Cisco发布了数以百计的补充版本以修补安全漏洞或者解决与网络接口卡或IP堆栈的兼容性问题。
位于蒙特利尔的顾问公司SecuritySage的CEO Jeffrey Posluns说,IOS不同版本之间的区别实际上并不明显,其主要是为了从销售的角度使产品线更具有吸引力。
Posluns举例说,Cisco在其许多产品中采用同样的代码,但是当做了一些小改进后,就会给改动的产品一个新的子版本号。这就是为什么许多子版本产品会常常出现同一个问题。
由于升级IOS是一个很枯燥的过程,Kerravala认为企业应该只在危机事件情况下,或者当Cisco停止对一特定版本支持的时候升级它们的设备。
Kerravala说由于设备管理已经变成一项很繁重的工作,第三方的配置管理销售商,如Intelliden公司, Voyence公司和最近被OpswareInc并购的Rendition Networks等,可以通过使升级过程简化来把握这一机会,发展自己。
Posluns认为,尽管存在漏洞,IOS仍然是目前市场上较好的网络操作系统,同时他认为没有理由产生恐慌。“我不认为这将改变我们目前做事的方式。”他说。
此外,Kerravala称企业不大可能会遭受针对最近宣布的IOS漏洞而发起的攻击,这是因为利用IOS漏洞发起攻击不仅仅需要若干特殊条件同时具备,而且还要求具有对网络内部结构的了解。
Kerravala说“我不是说这些漏洞不可能被利用,但我想Cisco愿意公开这些漏洞证明他们正在寻找存在的漏洞并对这些漏洞进行修补。“