Cisco PIX és ASA sérülékenységek

CH azonosító

CH-1284

Felfedezés dátuma

2005.05.04.

Súlyosság

Közepes

Érintett rendszerek

Adaptive Security Appliance (ASA)
CISCO
Private Internet Exchange (PIX)

Érintett verziók

CISCO Private Internet Exchange (PIX) 7.x, 8.x
CISCO Adaptive Security Appliance (ASA) 7.x, 8.x

Összefoglaló

A Cisco ASA és PIX eszközök több sérülékenysége vált ismertté. A sérülékenységek megteremthetik a szolgáltatás megtagadás (DoS) feltételeit és lehetővé teszik, hogy a támadó megkerülje a hozzáférés ellenőrzését (control-plane access control list – ACL).

Leírás

A Cisco ASA 5500 Series Adaptive Security Appliances és Cisco PIX Security Appliances többféle sérülékenysége vált ismertté. A sérülékenységek megteremthetik a szolgáltatás megtagadás (DoS) feltételeit és lehetővé teszik, hogy a támadó megkerülje a hozzáférés ellenőrzését (control-plane access control list – ACL) .

  1. Egy speciálisan elkészített TCP ACK csomag a Cisco ASA vagy Cisco PIX biztonsági eszközökön szolgáltatás megtagadást okozhat . Ezt csak az eszköznek címzett csomagok válthatják ki (az eszközön átmenőek nem).
    A sérülékenység a 7.1.x, 7.2.x és 8.0.x verziókat érinti.
  2. A Cisco PIX és Cisco ASA biztonsági eszközök számos esetben a TLS protokollra támaszkodnak a bizalmas kommunikáció védelmének érdekében. Ezekben az esetekben a TLS protokoll kezelésének hibája az ASA és PIX eszköz újra betöltését eredményezheti speciálisan elkészített TLS csomagok feldolgozásakor.
    A sérülékenység a 8.0.x és 8.1.x verziókat érinti.
  3. A Cisco ASA és Cisco PIX Instant Messenger (IM) ellenőrző motorját használják az azonnali üzenetküldő programok részletes ellenőrzésére a hálózaton. Ha az Instant Messaging Inspection engedélyezve van egy hibát kihasználva szolgáltatás megtagadást lehet okozni.
    A sérülékenység a 7.2.x, 8.0.x és 8.1.x verziókat érinti.
  4. A Cisco ASA a Cisco PIX biztonsági eszközökön szolgáltatás megtagadást lehet okozni, ha egy sérülékenység scan a TCP 443 portot tapogatja le. Egyes sérülékenység (port) scannerek hatására a rendszer újra betöltődhet.
    A sérülékenység a 7.2.x, és 8.0.x verziókat érinti.
  5. Az első négy sérülékenység sikeres kiaknázása az érintett eszköz újra betöltődését eredményezheti. Az ismétlődő kiaknázások tartós szolgáltatás megtagadást (DoS) eredményezhetnek.

  6. A hozzáférés ellenőrzés (control-plane ACL-ek) feladata a biztonsági eszközre irányuló forgalom védelme. A Cisco ASA és Cisco PIX biztonsági eszközök egy sérülékenységének hatására a hozzáférés ellenőrzés nem működik a kezdeti beállítása után.
    A sérülékenység a 8.0.x verziót érinti.
  7. Az ötödik sérülékenység sikeres kiaknázása lehetővé teszi, hogy a támadó megkerülje a hozzáférés ellenőrzését és káros forgalmat küldjön az érintett eszközre.

Megjegyzés: Ezek a sérülékenységek függetlenek egymástól. Lehet, hogy egy eszközt az egyik sérülékenység érint, míg egy másik nem.

Megoldás

Frissítsen a legújabb verzióra