Ciscos Firewall Services Module lässt Pakete durch
In bestimmten Konfigurationen passieren Pakete den Filter, die eigentlich geblockt werden sollen.
Cisco weist auf eine SicherheitslĂĽcke in seinem Firewall Services Module (FWSM) hin, das in Switches der Catalyst-6500-Serie und Routern der 7600-Serie eingesetzt wird. Nutzt ein Angreifer diese Schwachstelle aus, kann er laut Hersteller mit jedem Rechner an einem anderen Port eine TCP-Verbindung aufbauen, auch wenn dafĂĽr in den Access Control Lists explizit eine Regel zum Ausfiltern erstellt wurde. Allerdings funktioniert dies nur fĂĽr Inbound-Verkehr, der bespielsweise an eine entmilitarisierte Zone (DMZ) gerichtet ist.
Ursache des Problems ist der Einsatz von Ausnahmen (Excepts) bei Filterregeln fĂĽr URL, FTP oder HTTPS. Cisco hat in seinem Advisory ein Beispiel fĂĽr eine verwundbare Konfiguration aufgefĂĽhrt. Betroffen sind die FWSM-Versionen 2.3.1 und vorhergehende. Ein Update beseitigt die Schwachstelle.
Siehe dazu auch: (dab)
- FWSM URL Filtering Solution TCP ACL Bypass Vulnerability (Fehlerbericht von Cisco)
