Ciscos Firewall Services Module lässt Pakete durch
In bestimmten Konfigurationen passieren Pakete den Filter, die eigentlich geblockt werden sollen.
Cisco weist auf eine Sicherheitslücke in seinem Firewall Services Module (FWSM) hin, das in Switches der Catalyst-6500-Serie und Routern der 7600-Serie eingesetzt wird. Nutzt ein Angreifer diese Schwachstelle aus, kann er laut Hersteller mit jedem Rechner an einem anderen Port eine TCP-Verbindung aufbauen, auch wenn dafür in den Access Control Lists explizit eine Regel zum Ausfiltern erstellt wurde. Allerdings funktioniert dies nur für Inbound-Verkehr, der bespielsweise an eine entmilitarisierte Zone (DMZ) gerichtet ist.
Ursache des Problems ist der Einsatz von Ausnahmen (Excepts) bei Filterregeln für URL, FTP oder HTTPS. Cisco hat in seinem Advisory ein Beispiel für eine verwundbare Konfiguration aufgeführt. Betroffen sind die FWSM-Versionen 2.3.1 und vorhergehende. Ein Update beseitigt die Schwachstelle.
Siehe dazu auch: (dab)
- FWSM URL Filtering Solution TCP ACL Bypass Vulnerability (Fehlerbericht von Cisco)
