Cisco 防火墙服务模块远程拒绝服务及ACL破坏漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2007-10-21
Cisco 防火墙服务模块远程拒绝服务及ACL破坏漏洞 受影响系统:
Cisco Firewall Services Module 3.2
Cisco Firewall Services Module 3.1
Cisco Firewall Services Module 2.3
不受影响系统:
Cisco Firewall Services Module 3.2(3)
Cisco Firewall Services Module 3.1(7)

描述:

BUGTRAQ  ID: 26109

Cisco FWSM是Cisco设备上的防火墙服务模块。

如果处理了特制的HTTPS请求的话,启用了HTTPS服务器的FWSM可能会重载。HTTPS服务器默认是禁用的。
   
接收HTTPS请求的源IP地址和接口必须符合所配置的http <source IP> <address mask> <source interface>命令。例如,如果配置中存在http 10.10.10.0 255.255.255.0命令的话,则仅有来自10.10.10.0/24网络的特制HTTPS请求才会在设备上造成问题。这个漏洞在Cisco Bug ID中记录为CSCsi77844。

如果处理了特制的MGCP报文的话,启用了MGCP应用层协议检查功能的FWSM可能会重载。MGCP应用层协议检查不是默认启用的。
   
MGCP消息是通过用户数据报协议(UDP)传输的,这允许从伪造地址发起特制的MGCP消息。仅有网关应用的MGCP(UDP 2427端口上的MGCP通讯)才受影响。这个漏洞在Cisco Bug ID中记录为CSCsi00694。

可通过命令行接口或ASDM控制ACL,包括删除和重新添加ACE。如果以这种方式控制了访问列表,ACL的内部结构会被破坏,导致FWSM不会评估某些ACE。由于没有评估ACL中的ACE,ACL可能会允许正常情况下应拒绝的通讯,或拒绝正常情况下应允许的通讯。这个漏洞在Cisco Bug ID中记录为CSCsj52536。

建议:

临时解决方法:

* 在中间节点ACL(tACL)策略中限制使用TCP 443端口的HTTPS报文和UDP 2427端口上的MGCP报文的访问。
* 限制MGCP网关之间通讯的MGCP应用层检查:
   
    FWSM(config)# access-list mgcp_traffic permit udp host 192.168.0.1
         host 172.16.0.1 eq 2427
    FWSM(config)# access-list mgcp_traffic permit udp host 172.16.0.1
         host 192.168.0.1 eq 2427
    FWSM(config)# class-map MGCP
    FWSM(config-cmap)# match access-list mgcp_traffic
    FWSM(config-cmap)# exit
    FWSM(config)# policy-map global_policy
    FWSM(config-pmap)# class inspection_default
    FWSM(config-pmap-c)# no inspect mgcp
    FWSM(config-pmap-c)# exit
    FWSM(config-pmap)# class MGCP
    FWSM(config-pmap-c)# inspect mgcp
    FWSM(config-pmap-c)# exit
    FWSM(config-pmap)# exit
    FWSM(config)#

* 在修改之前完全删除ACL,然后使用预期的更改重新创建。可通过clear configure access-list <ACL name>命令删除ACL。

厂商补丁:

Cisco已经为此发布了一个安全公告(cisco-sa-20071017-fwsm)以及相应补丁:
cisco-sa-20071017-fwsm:Multiple Vulnerabilities in Firewall Services Module
链接:http://www.cisco.com/warp/public/707/cisco-sa-20071017-fwsm.shtml

补丁下载:
http://www.cisco.com/pcgi-bin/tablebuild.pl/cat6000-fwsm?psrtdcat20e2.

图片内容