FragmentSmack不是仅限Linux的威胁

思科目前正在研究其产品线，以确定哪些产品和服务使用Linux内核3.9或更高版本，这些内容容易受到FragmentSmack拒绝服务（DoS）漏洞的攻击。

网络硬件制造商已经收集了80多个受此漏洞影响的产品的清单。他们中的许多人预计到2019年2月将会修复。

目前正在调查的产品来自路由和交换类别，专为企业和服务提供商而设计。更具体地说，该公司正在研究应用程序策略基础结构控制器企业模块（APIC-EM）。

APIC-EM提供软件定义的网络，允许自动化基于策略的应用程序配置文件，以便在网络中快速部署设备或适应新的挑战。

解决方法和缓解解决方案

在补丁可用之前，思科建议客户查看产品特定的文档，以获取可能的解决方法。

管理员可能能够使用速率限制措施（如访问控制列表（ACL））来控制到达接口的分段数据包流。

在周一的一份咨询报告中，思科提醒说，设备外缓解也可能是控制IP分片流的有效解决方案。

FragmentSmack不是仅限Linux的威胁

FragmentSmack标识为CVE-2018-5391，允许未经身份验证的攻击者在受影响的计算机上将CPU使用率提高到最大值，从而使其无响应。

这是可能的，因为Linux内核用于重组IPv4或IPv6数据包的IP堆栈中可用的算法效率低下。

尽管该漏洞最初是在Linux上发现的，但它的兄弟SegmentSmack依赖于精心设计的TCP数据包来触发DoS条件，FragmentSmack 也会影响Windows操作系统。补丁目前可用于Linux和Windows。

使用FragmentedSmack进行DoS攻击的系统在攻击期间无法操作。一旦数据包流停止，操作系统就会返回其正常运行状态。

目前被确定为易受攻击的一些路由和网络设备包括：

• 思科云服务平台2100
• 思科Tetration Analytics
• Cisco vEdge 100系列路由器
• Cisco vEdge 1000系列路由器
• Cisco vEdge 2000系列路由器
• Cisco vEdge 5000系列路由器
• Cisco vEdge云路由器平台
• Cisco ACI虚拟EdgeCisco应用程序策略基础结构控制器（APIC）
• 思科DNA中心
• Cisco IOS XE软件
• Cisco IOx Fog Director
• Cisco MDS 9000系列多层交换机
• 思科网络保障引擎
• Cisco Nexus 3000系列交换机
• Cisco Nexus 7000系列交换机
• Cisco Nexus 9000系列光纤交换机 - ACI模式
• Cisco Nexus 9000系列交换机 - 独立的NX-OS模式
• Cisco ACI虚拟边缘
• 思科应用策略基础架构控制器（APIC）
• Cisco DNA CenterCisco IOS XE软件
• Cisco IOx Fog Director
• Cisco MDS 9000系列多层交换机
• 思科网络保障引擎
• Cisco Nexus 3000系列交换机
• Cisco Nexus 7000系列交换机
• Cisco Nexus 9000系列光纤交换机 - ACI模式
• Cisco Nexus 9000系列交换机 - 独立的NX-OS模式
• Cisco Aironet 1560系列接入点
• Cisco Aironet 1815系列接入点
• Cisco Aironet 2800系列接入点
• Cisco Aironet 3800系列接入点
• 思科移动服务EngineCisco无线局域网控制器

有关已知受FragmentSmack影响的产品的完整列表，您可以查看该通报。