変な BGP Updateメッセージを投げられるとコネクション切れちゃうという DoSに使える話。

少し前に「Cisco以外のルータでは、変なBGP Updateメッセージを受け取るとコネクション切っちゃう」「Ciscoだとスルーされるので、Cisco使われてるリンクばっかだと地球の果てから日本まで届くことがある」という話を聞いたが、それが表に出たのかな。

Vulnerability Note VU#929656

Multiple BGP implementations do not properly handle UPDATE messages

Overview

BGP implementations from multiple vendors including Juniper may not properly handle specially crafted BGP UPDATE messages. These vulnerabilities could allow an unauthenticated, remote attacker to cause a denial of service. Disrupting BGP communication could lead to routing instability.

I. Description

The Border Gateway Protocol (BGP, RFC 4271) is a widely used inter-Autonomous System routing protocol. BGP communication among peer routers is critical to the stable operation of the internet.

Multiple vendors BGP implementations do not properly handle specially crafted BGP UPDATE messages. A vulnerable BGP implementation could drop sessions when processing crafted UPDATE messages. A persistent attack could lead to routing instability (route flapping).
To affect a BGP session, an attacker would need to succesfully inject a specially crafted packet into an existing BGP session or the underlying TCP session (179/tcp). In other words, the attacker would need to have a valid, configured BGP session or be able to spoof TCP traffic.

This vulnerability was first announced as affecting Juniper routers. Further investigation indicates that other vendors are affected by the same or similar issues. Please see the Systems Affected section below.

対策方法

アップデートする

各ベンダより提供されている最新バージョンへアップデートしてください。

TCP MD5 認証を使用する

TCP MD5 認証 (RFC2385) を使用して、認証されたピアからのみ接続するようにする。

BGP 接続を制限する

BGP への接続を制限してください。

うーん、JVNの方は酷いな。これで対策出来ないから問題なんじゃねーの。