Fehler in Ciscos PIX-Firewall
Mit einer groĂźen Zahl von ICMP-Paketen kann ein Angreifer die Freigabe IP-Adressen aus dem NAT-Pool der Firewall verhindern.
Cisco bestätigte am Wochenende einen auf der Mailingliste Full Disclosure gemeldeten Fehler in der Network Address Translation (NAT) der PIX-Firewall. NAT wird verwendet, um private IP-Adressen in öffentliche IP-Adressen zu übersetzen. 1-zu-N-NAT übersetzt N interne Adressen in eine öffentliche (Masquerading/PAT), N-zu-M übersetzt M interne in N öffentlichen, wobei man die Zahl der verfügbaren öffentlichen Adressen begrenzen kann. Die Zuordnung kann dynamisch oder statisch erfolgen. Bei der dynamischen Zuordnung löst ein Router oder eine Firewall diese nach einer gewissen Zeit wieder auf, um nicht alle öffentlichen IP-Adressen zu belegen.
Ein Angreifer kann mit einer großen Zahl von Ping-Paketen (ICMP-Echo-Request) die Freigabe der IP-Adressen verhindern, so dass keine Adresse aus dem Pool mehr verfügbar ist. In der Folge ist der Aufbau weiterer Verbindungen nicht mehr möglich. Dem Fehlerbericht nach, ist ein Reboot notwendig, um die Firewall wieder in einen normalen Zustand zu bringen. Das Setzen von Filtern auf der PIX behebt das Problem nicht, da auch verworfene Pakete die NAT-Zuordnung aufrecht erhalten.
Laut Advisory sind die aktuellen Versionen der PIX (6.3) betroffen. Cisco arbeitet bereits an einem Patch, als Workaround empfiehlt sich, wenn möglich, 1-zu-N-NAT oder statisches N-zu-M-NAT zu verwenden.
Siehe dazu auch: (dab)
- Security Advisory auf Full-Disclosure
- Ciscos Antwort auf Full Disclosure
