Skip to main content

Protecting your juniper router from PSN-2010-01-623 using Firewall filters


Last Thursday Juniper Networks released advisory PSN-2010-01-623 urging Network administrator running JUNOS versions older then one year to upgrade. The advisory states that by sending ‘malformed’ tcp options will cause JunOS to crash. The advisory does not mention which tcp options will cause this behavior.
So last Friday and Saturday I spend a few hours to trying to generate TCP packets with different kind of options set, trying to see if I could find out the exact options needed. However before I found the magic combination, Jermey Gaddis posted a blog post describing which options need to be set. He also published an exploit.
I tried running this exploit, but for some reason the perl code does not run on my Mac book. After slightly rewriting some of his perl code I managed to get it working and was ready to give it a try on one of our lab routers, a M10 running JunOS 7.x.
I was able to crash the router with only sending one packets, also see the video.




Of course most routers have firewall/acl filters to only allow traffic to the RE from trusted sources. According to the advisory and some resources online firewall filters don’t help in this case. However in my lab testing applying a firewall did seem to help.
To test this I configured my lab router with a firewall blocking all ssh traffic from all sources. I tried the exploit again and nothing happened. So it seems that at least in some cases a firewall filter does help. This might be different on a Olive box, as it doesn’t have hardware filtering in PFE’s. I assume that’s why filtering does work on a ‘real’ box, as it’s probably filtered out by the PFE’s before it reached the kernel.
Although firewall filters do seem to protect you against this issue. It’s still fairly easy to spoof IP addresses and by pass the firewall. As router Ip addresses are easy to find (traceroute) it will also be easy to guess the IP address of a BGP peer. Using that spoofed address will allow an attacker to crash your router. So upgrading to a more recent release is the only real solution.

Comments

Popular posts from this blog

Порно, которое лопнуло

В августе 2010 года студия Paramount Pictures выпустила в прокат фильм Middle Men («Меж двух огней»). Действие этой трагикомедии происходит в середине 90х годов: главный герой, Джек Харрис, создает первую в мире электронную платежную систему, специализирующуюся на обслуживании порносайтов. Харрис попадает в одну неприятную ситуацию за другой: его преследуют агенты ФБР, русские бандиты и международные террористы, но в итоге он выходит сухим из воды. Фильм провалился в прокате: при бюджете в $22 млн собрал за три недели всего $733 000, зато стал одним из самых обсуждаемых в сети релизов 2010 года.

Продюсер картины — Кристофер Маллик, а сам фильм основан на истории его собственной жизни. Маллик стал известен как владелец системы ePassporte, крупнейшего платежного сервиса сайтов для взрослых. Через месяц после выхода фильма у ePassporte начались проблемы: VISA отказалась обслуживать платежи. В начале октября система закрылась. Не только мировая порноиндустрия понесла тяжелую утрату — бизне…

Кому нужны дропы?

в этом видео хорошо показана жизнь одного современного человека,
который начал налить белый пластик

полезно посмотреть начинающим дропам - как вести себя со своим дроповодом, и что нужно рассказывать в полиции, в случае если вы туда попали



Чем рискуют дропы и нальщики принимая заливы на свои карты

Зам.начальника управления Следственного департамента МВД Павел Сычев рассказал о криминальном бизнесе «нальщиков»
- Глава Банка России Эльвира Набиуллина заявила о снижении объемов теневого оборота в конце 2013 года. Что показывает ваша статистика по выявлению незаконных операций?

- В последние годы объем денежных средств, выведенных в теневой сектор, увеличивался, и криминогенная обстановка ухудшалась. Проблема находится в поле зрения президента -  в декабрьском послании Федеральному Собранию, он призвал избавить нашу финансовую систему от разного рода «отмывочных контор» и так называемых «прачечных». Оперативники уже получили ориентировку на более активное выявление этих преступлений.

По уголовным делам, расследованным МВД только в первом полугодии 2013 года, проходит 145 млрд рублей, обналиченных и незаконно выведенных заграницу. Это неуплаченные налоги, незаконный бизнес, хищения, взятки. Финансовый доход посредников от этих операций составил 8 млрд рублей. Расследовано 89 таких дел …

Black Hat SEO или бот для скликивания контекстной рекламы

На днях мне стало интересно, а каким образом с точки зрения «черных» методов SEO могут быть использованы хакерские программы – например, путем генерации трафика для заинтересованных ресурсов или скликивания контекстной рекламы AdWords или Яндекс.Директ
Понятно, что увеличение числа посетителей на сайте интернет-магазина или компании, занимающейся недвижимостью, вероятнее всего положительно скажется на их доходах. Поэтому разработка подобного типа программ — вполне себе обыденное дело, и появились такие программы уже давно. По большей части таких ботов можно разделить на два класса — это различного рода Adware, которое распространяется вместе с популярными программами, или трояны, которые осуществляют более серьезную модификацию системы.  Win32/Patched.P Давай для начала рассмотрим достаточно экзотический, но от этого не менее интересный способ подмены результатов поиска в популярных поисковых сервисах Яндекс и Google, который был реализован в троянской программе Win32/Patched.P (ESET)…

Бот для скликивания рекламы сгенерировал более 1 млрд объявлений за три месяца

Эксперты Google AdSense выявили крупный ботнет, накручивающий и скликивающий рекламу Google AdSense в автоматическом режиме. Боты для скликивания рекламы также использовались для скрытых просмотры стримов Twitch и генерации фальшивых лайков на YouTube.

Исследователи пишут, что основными целями этого бота скликивания рекламы являются такие браузеры, как Google Chrome, Mozilla Firefox и Яндекс.Браузер, работающие на Windows-машинах. Именно они образуют костяк ботнета скликивания рекламы. Сообщается, что только за последние три месяца через этот ботнет прошло более 1 млрд рекламных объявлений.

Заражение машины жертвы начинается с использования модуля Installer, который установит и сконфигурирует скликивающее расширение для браузера, а также обеспечит постоянное присутствие в системе, создав запланированную задачу (малварь притворится Windows Update).

Затем другой модуль бота, Finder, начнет собирать в зараженной системе файлы cookie и учетные данные, отправляя их своим операторам в форма…

Залив на карту без предоплаты по SWIFT или SEPA

В последнее время наблюдается такая ситуация, что нальщиков и дропов на рынке много, а адекватных заливщиков, можно сказать, совсем нет.


Например, один мой хороший знакомый, имеющий свой собственный офшор, работает с заливщиками на условиях партнерства, предоставляя им трафик и взамен получая 20% от поведенных транзакций на свой счет в офшорном банке. Мне он рассказал по большому секрету, как такое ему удается, а начинал он как и все с малого - продажи дебетовых карт и игре на рынке FOREX.

Просто так искать Заливщиков на различных форумах, посвящённых обналу и отмыванию денег - достаточно муторное и нудное занятие, потому как после общения с десятым по счету заливщиком, начинаешь понимать, что просто так на карты и счета никто лить не будет.

Однако моему другу попался один довольно интересный вариант - Заливщик предложил сделать перевод в размере 375 000 EUR по SEPA в день предоставления готового к работе счета и активной системы Multihomed AS.



Остальные предложения были более мутные …