首页 » 黑客新闻 » 最新漏洞 » Cisco 防火墙服务模块远程拒绝服务及ACL破坏漏洞
Cisco 防火墙服务模块远程拒绝服务及ACL破坏漏洞
受影响系统:
Cisco Firewall Services Module 3.2
Cisco Firewall Services Module 3.1
Cisco Firewall Services Module 2.3
不受影响系统:
Cisco Firewall Services Module 3.2(3)
Cisco Firewall Services Module 3.1(7)
描述:
BUGTRAQ ID: 26109
Cisco FWSM是Cisco设备上的防火墙服务模块。
如果处理了特制的HTTPS请求的话,启用了HTTPS服务器的FWSM可能会重载。HTTPS服务器默认是禁用的。
接收HTTPS请求的源IP地址和接口必须符合所配置的http <source IP> <address mask> <source interface>命令。例如,如果配置中存在http 10.10.10.0 255.255.255.0命令的话,则仅有来自10.10.10.0/24网络的特制HTTPS请求才会在设备上造成问题。这个漏洞在Cisco Bug ID中记录为CSCsi77844。
如果处理了特制的MGCP报文的话,启用了MGCP应用层协议检查功能的FWSM可能会重载。MGCP应用层协议检查不是默认启用的。
MGCP消息是通过用户数据报协议(UDP)传输的,这允许从伪造地址发起特制的MGCP消息。仅有网关应用的MGCP(UDP 2427端口上的MGCP通讯)才受影响。这个漏洞在Cisco Bug ID中记录为CSCsi00694。
可通过命令行接口或ASDM控制ACL,包括删除和重新添加ACE。如果以这种方式控制了访问列表,ACL的内部结构会被破坏,导致FWSM不会评估某些ACE。由于没有评估ACL中的ACE,ACL可能会允许正常情况下应拒绝的通讯,或拒绝正常情况下应允许的通讯。这个漏洞在Cisco Bug ID中记录为CSCsj52536。
建议:
临时解决方法:
* 在中间节点ACL(tACL)策略中限制使用TCP 443端口的HTTPS报文和UDP 2427端口上的MGCP报文的访问。
* 限制MGCP网关之间通讯的MGCP应用层检查:
FWSM(config)# access-list mgcp_traffic permit udp host 192.168.0.1
host 172.16.0.1 eq 2427
FWSM(config)# access-list mgcp_traffic permit udp host 172.16.0.1
host 192.168.0.1 eq 2427
FWSM(config)# class-map MGCP
FWSM(config-cmap)# match access-list mgcp_traffic
FWSM(config-cmap)# exit
FWSM(config)# policy-map global_policy
FWSM(config-pmap)# class inspection_default
FWSM(config-pmap-c)# no inspect mgcp
FWSM(config-pmap-c)# exit
FWSM(config-pmap)# class MGCP
FWSM(config-pmap-c)# inspect mgcp
FWSM(config-pmap-c)# exit
FWSM(config-pmap)# exit
FWSM(config)#
* 在修改之前完全删除ACL,然后使用预期的更改重新创建。可通过clear configure access-list <ACL name>命令删除ACL。
厂商补丁:
Cisco已经为此发布了一个安全公告(cisco-sa-20071017-fwsm)以及相应补丁:
cisco-sa-20071017-fwsm:Multiple Vulnerabilities in Firewall Services Module
链接:http://www.cisco.com/warp/public/707/cisco-sa-20071017-fwsm.shtml
补丁下载:
http://www.cisco.com/pcgi-bin/tablebuild.pl/cat6000-fwsm?psrtdcat20e2.