Cisco cảnh báo nguy cơ bảo mật của router và switch

Một số thiết bị định tuyến (router) và bộ chuyển mạch (switch) của công ty này có nguy cơ bị tấn công tấn công từ chối dịch vụ (DoS) kể cả được cấu hình một cách thích hợp.

Những sản phẩm chạy phiên bản hệ điều hành IOS Version 12.2S, có hỗ trợ giao thức DHCP (Dynamic Host Configuration Protocol) và bộ phận tiếp vận (relay agent), đều có khả năng bị tấn công DoS khi nhận những gói dữ liệu DHCP được thiết kế đặc biệt. Thậm chí nếu dịch vụ DHCP hoặc dịch vụ tiếp vận DHCP không được bật, router hoặc switch vẫn có thể bị ảnh hưởng.

Nguy cơ nói trên bắt nguồn từ một lỗi trong phương thức mà phần mềm của bộ định tuyến và bộ chuyển mạch xử lý các gói dữ liệu DHCP. Theo một tài liệu hướng dẫn của Cisco, nếu có những gói dữ liệu DHCP bất thường được gửi đi nhằm tấn công thiết bị, thì các gói dữ liệu này “sẽ vẫn đi đúng lộ trình thay vì bị bỏ rơi. Nếu số gói dữ liệu gửi đi tương đương với dung lượng của số dữ liệu gửi đến đang xếp hàng chờ thì sẽ không có bất cứ một lưu thông nào được chấp nhận trên giao diện đó”. Điều đó có nghĩa là thiết bị sẽ không hoạt động và không chạy bất cứ một chức năng định tuyến hay chuyển mạch nào.

Dưới đây là danh sách những sản phẩm bị ảnh hưởng (nếu chạy một phiên bản thuộc bộ IOS version 12.2S):

- Các bộ định tuyến 7200, 7300 và 7500.

 - Các nền đa dịch vụ 2650, 2651, 2650XM và 2651XM.

- Nền ứng dụng quang ONS15530 và ONS15540.

- Bộ chuyển mạch Catalyst 4000 với các module Sup2plus, Sup3, Sup4 và Sup5.

- Bộ chuyển mạch Catalyst 4500 với các module Sup2Plus TS.

 - Các bộ chuyển mạch Catalyst 4948, 2970, 3560 và 3750.

- Bộ chuyển mạch Catalyst 6000 với module Sup2/MSFC2 và Sup720/MSFC3.

- Các bộ định tuyến 7600 với module Sup2/MSFC2 và Sup720/MSFC3.

Những thiết bị Cisco không chạy phần mềm IOS thì không bị ảnh hưởng bởi khiếm khuyết nói trên. Ngoài ra những sản phẩm Cisco chạy IOS nhưng không bật lệnh DHCP thì cũng không có nguy cơ bị tấn công.