「黑護士」來襲! 資安業者以一台筆電癱瘓思科與合勤防火牆（更新：合勤緊急釋出更新）

11/18更新：合勤緊急發布聲明，證實有2款Zyxel產品受影響（網安設備USG50和無線基地臺NWA3560-N），但均已於2015年停產，合勤將會緊急釋出修補，NWA3560-N已可更新，而USG50則將在11月25日釋出更新。

丹麥的資安業者TDC Security Operations Center上周展示了名為「黑護士」（BlackNurse）的攻擊行動，它是一個低頻寬的網路控制訊息協定（Internet Control Message Protocol，ICMP）攻擊，只要利用一台筆電就能阻斷知名防火牆的服務，包含思科（Cisco）、合勤（Zyxel）、SonicWall及Palo Alto Networks。

ICMP為路由器與其他網路裝置用來傳送及接收錯誤訊息的協定，傳統上的攻擊模式是傳送大量的ICMP請求，然而黑護士卻只是傳遞少量基於無法到達目的地（ICMP Type 3）之無法存取傳輸埠（Code 3）的請求至攻擊目標，就能癱瘓特定的防火牆。

TDC說明，當使用者允許ICMP Type 3 Code 3至外部介面時，就算只利用少量頻寬，都能發揮黑護士攻擊的效益。

所謂的少量頻寬為15~18Mbps，約是每秒傳遞4~5萬個封包，當啟動黑護士攻擊時，目標對象的CPU即會過載，持續的攻擊將造成LAN端的使用者無法再存取網路。

在測試時TDC只使用一台尋常的筆電就能製造180Mbps的阻斷服務（DoS）攻擊流量，雖然TDC也嘗試以Nexus 6智慧型手機進行攻擊，但發現它只能製造9.5Mbps的攻擊流量，尚不足以造成威脅。

此外，TDC發現Cisco ASA firewall 55xx系列的產品問題最大，就算封鎖了所有傳送至防火牆的ICMP流量，只需要4Mbps的流量就能癱瘓它們。

至於同樣被點名的Palo Alto Networks則說該公司Next-Generation系列的防火牆預設值即禁止ICMP請求，因此只有在預設值被變更的少數情況下才會曝露於此一安全風險中。