“黑护士”来袭! 资安业者以一台笔电瘫痪思科与合勤防火墙（更新：合勤紧急释出更新）

11/18更新：合勤紧急发布声明，证实有2款Zyxel产品受影响（网安设备USG50和无线基地台NWA3560-N），但均已于2015年停产，合勤将会紧急释出修补，NWA3560-N已可更新，而USG50则将在11月25日释出更新。

丹麦的资安业者TDC Security Operations Center上周展示了名为“黑护士”（BlackNurse）的攻击行动，它是一个低带宽的网络控制讯息协定（Internet Control Message Protocol，ICMP）攻击，只要利用一台笔电就能阻断知名防火墙的服务，包含思科（Cisco）、合勤（Zyxel）、SonicWall及Palo Alto Networks。

ICMP为路由器与其他网络装置用来传送及接收错误讯息的协定，传统上的攻击模式是传送大量的ICMP请求，然而黑护士却只是传递少量基于无法到达目的地（ICMP Type 3）之无法存取传输埠（Code 3）的请求至攻击目标，就能瘫痪特定的防火墙。

TDC说明，当使用者允许ICMP Type 3 Code 3至外部界面时，就算只利用少量带宽，都能发挥黑护士攻击的效益。

所谓的少量带宽为15~18Mbps，约是每秒传递4~5万个封包，当启动黑护士攻击时，目标对象的CPU即会过载，持续的攻击将造成LAN端的使用者无法再存取网络。

在测试时TDC只使用一台寻常的笔电就能制造180Mbps的阻断服务（DoS）攻击流量，虽然TDC也尝试以Nexus 6智能手机进行攻击，但发现它只能制造9.5Mbps的攻击流量，尚不足以造成威胁。

此外，TDC发现Cisco ASA firewall 55xx系列的产品问题最大，就算封锁了所有传送至防火墙的ICMP流量，只需要4Mbps的流量就能瘫痪它们。

至于同样被点名的Palo Alto Networks则说该公司Next-Generation系列的防火墙预设值即禁止ICMP请求，因此只有在预设值被变更的少数情况下才会曝露于此一安全风险中。