态势感知、综合日志审计平台是否涉及TOA漏洞

关于开展TOA风险排查的紧急通知

一、基本情况

12月1日，名为BeichenDream的用户在Github上发布一个项目，包含利用TOA（Tcp Option Address）伪造IP地址，继而突破安全访问控制的一个测试工具。

经测试，利用该工具，攻击者可以将真实IP伪造成白名单内的IP，重新进行TCP协议的三次握手，插入TCP Option，继而可以访问原本受限的敏感网络资源（如通过安全组隔离的ECS、RDS、存储等）。

TOA(TCP Option Address)是基于四层协议（TCP）获取真实源 IP 的方法，本质是将源 IP 地址插入 TCP 协议的 Options 字段，然后进行网络请求，进而获取客户端的真实IP地址。

二、影响范围及风险分析

网络访问控制机制（ACL）是目前最常见的安全隔离措施， 一旦被突破可能带来严重影响及安全风险。

该问题影响到的平台：xxx平台。

该问题具体的影响：（蓝色是示例）

（1）         云服务商实现网络访问控制措施的产品（如暴露在互联网的网络产品、网络安全产品、依赖在线升级的产品等）是否受影响，如有则说明具体影响及风险。

（2）         云平台安全架构及安全防护体系是否受影响，如有则说明具体影响及风险。

（3）         云服务商人员身份鉴别及远程运维是否受影响，如有则说明具体影响及风险。

（4）         租户身份鉴别及远程运维是否受影响，如有则说明具体影响及风险。

（5）         租户应用系统防护体系、数据安全是否受影响（如面对南北向攻击、东西项攻击），如有则说明具体影响及风险。

（6）         其他影响及风险分析。

三、下一步采取的安全控制措施及工作建议

（1）         临时安全控制措施

（2）         长期安全控制措施

针对该问题的分析及工作建议：

不涉及该漏洞