程式
Cisco Firewall Services Module 3.1(x) <= 3.1(1.6)
Cisco PIX/ASA 7.1(x) <= 7.1(2.4)
Cisco PIX/ASA 7.0(x) <= 7.0(5)
描述
Cisco PIX、ASA和FWSM都是非常流行的防火牆設備,提供能夠進行狀態報文過濾和深層報文檢查的防火牆服務。上述設備所使用的某些軟體版本中可能存在bug,在某些環境中會導致未經用戶干預便更改了EXEC命令、本地定義用戶的口令,以及啟動配置中所存儲的enable口令。
僅有兩種情況可以觸發這個軟體bug:
軟體崩潰,通常是由軟體bug所導致的。請注意不是所有的軟體崩潰都會導致上述的不良結果。
兩個或多個用戶在同一設備上同時進行配置更改。無論使用何種方法訪問設備(命令行接口【CLI】,自適應安全設備管理器【ASDM】,防火牆管理中心等),都會觸發漏洞。
請注意在通過write memory或copy running-config startup-config命令向存儲啟動配置的穩定媒介中保存配置時,就會更改啟動配置中的口令。在正常的操作中,如果沒有保存所運行的配置,就不會更改啟動配置中的口令。
一旦更改了啟動配置中的口令,如果EXEC和enable許可權的認證依賴於口令或存儲在啟動配置中的本地帳號的話,則在下一次設備重載後就會將管理員鎖定。如果使用AAA伺服器(RADIUS或TACACS+)進行認證的話,則無論是否將LOCAL認證配置為回退(fallback),僅在AAA伺服器不可用時更改啟動配置中的口令才會導致上述不良結果。
這個軟體漏洞可能導致未經用戶干預便更改了EXEC口令、本地定義用戶的口令和啟動配置中的enable口令。如果將認證配置為使用啟動配置中所存儲的口令的話,這會導致管理員無法登錄到設備。
如果惡意用戶能夠猜測到新口令的話,且重啟了設備,無論是由於軟體崩潰所導致的自動重啟還是網路管理員的手動重啟,都可以非授權訪問設備。
廠商補丁
Cisco已經為此發布了一個安全公告(cisco-sa-20060823-firewall)以及相應補丁:cisco-sa-20060823-firewall:Unintentional Password Modification in Cisco Firewall Products連結:http://www.cisco.com/warp/public/707/cisco-sa-20060823-firewall.shtml