RNP > Serviços > Segurança em redes > Alertas do CAIS

Múltiplas Vulnerabilidades no Módulo de Serviço de Firewall da Cisco

Cisco Security Advisory: Multiple Vulnerabilities in Firewall Services Module

[CAIS, 22.02.2007-17:12, revisão 01]

O CAIS está repassando o alerta da Cisco, intitulado "Cisco Security Advisory: Multiple Vulnerabilities in Firewall Services Module", que trata de vulnerabilidades presentes no Módulo de Serviço de Firewall da Cisco (FWSM). Estas vulnerabilidades, se exploradas com sucesso, podem permitir ao atacante reiniciar o equipamento (ataque de negação de serviço - DoS) ou mesmo corromper as listas de controle de acesso (ACLs) do dispositivo criando uma situação onde tráfego de rede não desejado seja aceito, ou que tráfego válido seja descartado.

As vulnerabilidades publicadas neste alerta são:

• Inspeção avançada de pacotes HTTP malformados: o FWSM pode reiniciar se um pacote HTTP malformado for analisado enquanto a análise avançada HTTP estiver ativada, causando negação de serviço (DoS). Esta opção está desativada por padrão.
   
• Inspeção de pacotes SIP malformados: o FWSM pode parar caso um pacote SIP malformado seja analisado, causando negação de serviço (DoS). As opções necessárias para ativar essa vulnerabilidade vêm ligadas por padrão de fábrica.
   
• Processamento de pacotes destinados ao FWSM: o FWSM pode parar quando ele porventura tente gerar uma mensagem tipo 710006 do syslog. Para isto acontecer, o FWSM deve receber um pacote em um dos IPs do dispositivo cuja mensagem não seja dos protocolos TCP, UDP, ICMP, OSPF, Failover, PIM, IGMP ou ESP. Além disso, o dispositivo deve estar configurado para gerar logs no nível 7. Entretanto, a geração de logs vem desativada no FWSM.
   
• Processamento de pacotes HTTPS malformados: o FWSM pode reiniciar caso um usuário tente acessar um website qualquer, caso o FWSM esteja configurado para autenticar este usuário antes que ele obtenha acesso à rede.
   
• Processamento de solicitações HTTP muito longas: o FWSM pode reiniciar caso o dispositivo esteja configurado para autenticar um usuário antes deste obter acesso à rede. Entretanto, neste caso o pacote HTTP que causa o reinicio do aparelho é valida, embora a URL presente neste pacote seja muito longa.
   
• Processamento de tráfego HTTPS: o FWSM pode reiniciar caso o dispositivo receba um tipo particular de pacote HTTPS direcionado ao FWSM, o que oferece algum risco caso o servidor HTTPS do FWSM esteja ativado, o que não é a configuração padrão do dispositivo.
   
• Processamento de solicitações SNMP mal formadas: o FWSM pode reiniciar caso o dispositivo receba uma mensagem SNMP mal formada de um outro dispositivo confiável, cujo acesso ao SNMP seja permitido explicitamente.
   
• Manipulação de ACL: As entradas de uma lista de controle de acessos (ACL) podem ser analisadas fora de ordem ou mesmo podem não ser analisadas quando o resultado do comando "show access-list" e a ACL correspondente mostrada através do comando "show running-config" parecerem estar dessincronizadas. Somente o reinicio manual do dispositivo pode eliminar esta condição. O corrompimento da ACL ocorre quando da manipulação de uma ACL que utilize grupos de objetos.

Sistemas afetados:

• Cisco Firewall Services Module (FWSM)

Os produtos acima são vulneráveis somente nas seguintes versões:

• Inspeção avançada de pacotes HTTP malformados:
  Todas as versões do software 3.x anteriores à versão 3.1(3.24)
   
• Inspeção de pacotes SIP malformados:
  Todas as versões do software anteriores à 2.3(4.12) e todas as versões do software 3.x anteriores à versão 3.1(3.24)
   
• Processamento de pacotes destinados ao FWSM:
  Todas as versões do software 3.x anteriores à versão 3.1(3.3)
   
• Processamento de pacotes HTTPS malformados:
  Todas as versões do software 3.x anteriores à versão 3.1(3.18)
   
• Processamento de solicitações HTTP muito longas:
  Todas as versões 3.x anteriores à versão 3.1(2)
   
• Processamento de trafego HTTPS:
  Todas as versões 3.x anteriores à versão 3.1(3.11)
   
• Processamento de solicitações SNMP mal formadas:
  Todas as versões do software 3.x anteriores à versão 3.1(3.1)
   
• Manipulação de ACL: Todas as versões do software anteriores à 2.3(4.7) e todas as versões do software 3.x anteriores à versão 3.1(3.1)

Correções disponíveis:

As correções estão disponíveis somente para usuários registrados no website da Cisco, nos endereços abaixo:

• Inspeção avançada de pacotes HTTP malformados
   
• Inspeção de pacotes SIP malformados
   
• Processamento de pacotes destinados ao FWSM
   
• Processamento de pacotes HTTPS malformados
   
• Processamento de solicitações HTTP muito longas
   
• Processamento de trafego HTTPS
   
• Processamento de solicitações SNMP mal formadas
   
• Manipulação de ACL
  http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCse60868
  http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCse99740

Formas de mitigação:

As formas de mitigação para as vulnerabilidades descritas neste alerta podem ser encontradas diretamente através do site da Cisco:

• Cisco Security Advisory: Multiple Vulnerabilities in Firewall Services Module

Mais informações:

• Cisco Security Advisory: Multiple Vulnerabilities in Firewall Services Module
• ISC Handlers Diary - Cisco ASA, Pix, and FWSM Vulnerabilities

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais