Cisco IOS NAT功能拒绝服务漏洞(CVE-2012-4618)

BUGTRAQ ID: 55693
CVE ID: CVE-2012-4618

Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统。NAT SIP ALG功能可通过IP报文的SIP负载内嵌入的IP地址转换，根据SIP部署VoIP解决方案之间的Cisco IOS NAT，

Cisco IOS在启用了NAT SIP ALG功能处理SIP报文时存在安全漏洞，NAT SIP ALG是默认启用的并执行了IP报文的SIP负载转换。默认是对UDP端口5060报文转换NAT SIP。该端口使用全局配置命令"ip nat service sip udp port"配置。 成功利用后造成设备重载。该漏洞相关Cisco Bug ID CSCtn76183。
0
Cisco IOS 15.2T
Cisco IOS 15.2GC
Cisco IOS 15.1M
Cisco IOS 15.1GC
Cisco IOS 12.4MDB
Cisco IOS 12.4MD
Cisco IOS 12.4(25e)
Cisco IOS 12.4(25c)
Cisco IOS 12.4(25b)
Cisco IOS 12.4(25a)
Cisco IOS 12.4(24)T6
Cisco IOS 12.4(24)MDA3
Cisco IOS 12.4(23b)
Cisco IOS 12.4(23a)
Cisco IOS 12.4(15)T15
Cisco IOS 12.2SXJ
Cisco IOS 12.2SXI
Cisco IOS 12.2SXH
Cisco IOS 12.2(50)SY
临时解决方法：

使用全局配置命令"no ip nat service sip udp port 5060"禁用UDP传输上的NAT SIP ALG。

厂商补丁：

Cisco

Cisco已经为此发布了一个安全公告（cisco-sa-20120926-nat）以及相应补丁:

cisco-sa-20120926-nat：Cisco IOS Software Network Address Translation Vulnerabilities

链接：http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120926-nat