[INFO] Découverte de BlackNurse, une vulnérabilité de type "Ping of Death" affectant un grand nombre de pare-feu

Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons de revenir sur la publication de la vulnérabilité nommée BlackNurse concernant de nombreux pare-feu.

Description :

Une vulnérabilité de type « Ping of Death » affectant un grand nombre de pare-feu a été découverte. Elle a été baptisée « BlackNurse » et permet de provoquer un déni de service en envoyant un volume relativement faible de paquets ICMP de type « Type 3, Code 3 » (« destination unreachable, port unreachable »).

Le traitement de ce type de paquet par un routeur vulnérable consomme beaucoup de ressources CPU.
D’après le TF-CSIRT danois, 18Mbps de paquets ICMP malveillants pourraient suffire à provoquer un déni de service sur un appareil vulnérable pouvant pourtant traiter 1Gbps de données.

Des pare-feu de Cisco, SonicWall, Zyxel, Fortinet et Palo Alto sont affectés.
La faille proviendrait d’un composant open source sous-jacent, ce qui impliquerait que d’autres modèles de pare-feu pourraient être vulnérables.

Un rapport de recherche a été publié par le TF-CSIRT à l’adresse suivante (des règles de détection SNORT y sont proposées) : http://soc.tdc.dk/blacknurse/blacknurse.pdf.
Une analyse technique détaillée de la faille a été publiée par Netresec à l’adresse : http://www.netresec.com/?page=Blog&month=2016-11&post=BlackNurse-Denial-of-Service-Attack.
La liste des modèles de pare-feu affectés est disponible à l’adresse : http://blacknurse.dk.

Référence :

• http://blacknurse.dk
• http://www.theregister.co.uk/2016/11/14/its_2016_and_a_ping_of_death_can_still_be_a_thing/
• http://soc.tdc.dk/blacknurse/blacknurse.pdf
• http://www.netresec.com/?page=Blog&month=2016-11&post=BlackNurse-Denial-of-Service-Attack

Référence CERT-XMCO :
CXN-2016-3933