思科防火墙安全漏洞防护建议
思科安全公告:在未经用户许可的情况下修改思科防火墙产品密码文档ID:70811
公告ID:cisco-sa-20060823-firewall
[url]http://www.cisco.com/warp/public/707/cisco-sa-20060823-firewall.shtml[/url]
版本:1.0
公开发布时间:2006年8月23日,1600 UTC(GMT)
请提供您对本文的反馈意见。
综述
受到影响的产品
详情
影响
软件版本和补丁
对策
获取打过补丁的软件
破坏情况和公开声明
本声明的状态:最终
分发
修改历史
思科安全步骤
综述
Cisco PIX 500系列安全设备、Cisco ASA 5500系列自适应安全设备(ASA)和防火墙服务模块(FWSM)的某些软件版本受到了一个软件漏洞的影响,可能会导致EXEC密码,本地定义的用户名的密码,以及启动配置中的enable密码在未经用户干预的情况下被修改。
未经授权的用户可以利用这个漏洞,通过在修改启动配置中的密码之后重启设备,获得该设备的使用权。而且,授权用户也将会被拒之门外,失去对受影响设备的管理权。
为了解决这个问题,思科向受影响的客户提供了免费的补丁软件。
本公告的网址为:[url]http://www.cisco.com/warp/public/707/cisco-sa-20060823-firewall.shtml[/url]。
受到影响的产品
运行受影响的软件版本的Cisco PIX 500系列安全设备、Cisco ASA 5500系列自适应安全设备以及用于Cisco Catalyst 6500交换机和Cisco 7600系列路由器的防火墙服务模块(FWSM)都可能会受到这个漏洞的影响。
存在漏洞的产品
运行下列软件版本的PIX 500系列安全设备和ASA 5500系列自适应安全设备均会受到影响:
#8226; 7.0(x) train以上(包括7.0(5))的任何版本(包括过渡版本)
#8226; 7.1(x) train以上(包括7.1(2.4))的任何版本(包括过渡版本)
在运行下列软件版本时,用于Cisco Catalyst 6500交换机和Cisco 7600系列路由器的FWSM会受到影响:
#8226; 3.1(x) train以上(包括3.1(1.6))的任何版本(包括过渡版本)
经确认不存在漏洞的产品
运行下列软件版本的PIX 500系列安全设备和ASA 5500系列自适应安全设备均不会受到影响:
#8226; 任何低于7.x的版本(只针对PIX,因为ASA不能运行7.x以下的版本)
#8226; 7.2(1)和更高的版本
运行下列软件版本的用于Cisco Catalyst 6500交换机和Cisco 7600系列路由器的FWSM均不会受到影响:
#8226; 任何1.x和2.x版本
#8226; 3.1(2)和更高版本
到目前为止,尚未发现有其他思科产品会受到此问题的影响。
详情
Cisco PIX 500系列安全设备,Cisco ASA 5500系列自适应安全设备,以及用于Cisco Catalyst 6500交换机和Cisco 7600系列路由器的防火墙服务模块(FWSM)都是思科安全产品系列的组成部分。所有这些产品都能提供防火墙服务、基于状态的数据包过滤和深度数据包检查功能。PIX和ASA设备还能提供其他服务,例如虚拟专用网(VPN)、内容过滤和入侵防范。
在这些设备上,对EXEC模式和启动模式的身份验证是在身份验证、授权和计帐(AAA)方法(远程身份验证拨号用户服务[RADIUS])、终端访问控制器访问控制系统附加[TACACS+]或LOCAL)的基础上进行的。如果某个设备没有配置任何AAA方法(例如RADIUS、TACACS+或LOCAL),对EXEC模式的身份验证就会利用通过passwd命令配置的密码进行,而对启动模式的身份验证则会利用通过enable passwd命令配置的密码进行。
这些设备所使用的某些软件版本存在一个漏洞,可能会在某些情况下导致EXEC密码,本地定义的用户的密码,以及启动配置中保存的启动密码在未经用户干预的情况下被修改。启动配置保存在一个非易失性存储介质中(例如闪存)。
受影响的密码可以利用下列配置命令设置:
#8226; passwd – 配置EXEC密码。例如:
pix(config)# passwd xxxxxxxxx
#8226; username – 配置本地用户和相关的密码。例如:
pix(config)# username admin password xxxxxxxx
#8226; enable password – 配置用于进入启动模式的密码。例如:
pix(config)# enable password xxxxxxxx
据我们所知,这个软件漏洞只会在以下两种情况下被触发:
#8226; 软件崩溃(通常由某个软件漏洞所导致)。请注意,并非所有软件崩溃都会造成上面所提到的意外结果。
#8226; 两个或多个用户同时在一个设备上修改配置――无论他们使用何种方法(命令行界面[CLI]、自适应安全设备管理器[ASDM]和防火墙管理中心等)访问设备。
请注意,在通过write memory或copy running-config startup-config命令将配置保存到启动配置所在的非易失性存储介质时,启动配置中的密码将会被修改。在正常操作时,如果正在运行的配置没有保存,启动配置中的密码将不会改变。
一旦启动配置中的密码被修改,那么如果EXEC或启动权限的身份验证取决于启动配置中保存的密码或本地账户,管理员将会在设备下次重启后无法管理设备。如果用一台AAA(RADIUS或TACACS+)服务器进行身份验证,启动配置中密码的改变只会在AAA服务器无法使用时导致意外的结果――无论是否将“LOCAL”身份验证方法设置为一种应急措施,例如aaa authentication enable console RADIUS LOCAL。
密码会被修改为一个非随机的值。这种行为并非源自一个固化在硬件中的缺省密码或其他明确生成的密码值组,而是由于某个与配置剖析有关的代码错误所导致的结果。
在多上下文模式下配置的设备也会受到这个软件漏洞的影响。
下列思科缺陷ID文档对这个问题进行了阐述:
#8226; 针对PIX和ASA设备的CSCse02703(只面向注册客户)
#8226; 针对FWSM的CSCsd81487(只面向注册客户)
影响
这个软件问题可能导致EXEC密码,本地定义的用户的密码,以及启动配置中保存的启动密码在未经用户干预的情况下被修改。如果身份验证方法被设置为使用启动配置中保存的密码,那么这将会导致管理员无法登陆设备。
如果某个恶意用户能够猜出新的密码,那么在设备重启后(无论是因为软件崩溃而自动重启还是由网络管理员手动重启),他们都能在未经授权的情况下访问该设备。
软件版本和补丁
在考虑升级软件时,请参考[url]http://www.cisco.com/go/psirt[/url]和任何后续发布的公告, 以确定影响程度和制定一个完整的升级解决方案。
在任何情况下,客户都应当谨慎行事,确保需要升级的设备具备足够的内存,而且新的版本能够正确地支持目前使用的软件和软件配置。如果不清楚这些信息,请联系思科技术支持中心(“TAC”)或您的签约维护服务供应商,获取必要的帮助。
对于PIX/ASA软件的7.0.x版本,最先加上补丁的版本是7.0(5.1)。PIX最新的7.0.x版本可以从下面这个网址下载:
[url]http://www.cisco.com/cgi-bin/tablebuild.pl/pix?psrtdcat20e2[/url](只面向注册客户)
ASA最新的7.0.x版本可以从下面这个网址下载:
[url]http://www.cisco.com/cgi-bin/tablebuild.pl/asa?psrtdcat20e2[/url](只面向注册客户)
对于PIX/ASA软件的7.1.x版本,最先加上补丁的版本是7.1(2.5)。PIX最新的7.1.x 过渡版本可以从下面这个网址下载:
[url]http://www.cisco.com/cgi-bin/tablebuild.pl/pix-interim?psrtdcat20e2[/url](只面向注册客户)
ASA最新的7.1.x 过渡版本可以从下面这个网址下载:
[url]http://www.cisco.com/cgi-bin/tablebuild.pl/asa-interim?psrtdcat20e2[/url](只面向注册客户)
最新加上补丁的FWSM版本是3.1(2)。FWSM软件最新的3.1版本可以从下面这个网址下载:
[url]http://www.cisco.com/cgi-bin/tablebuild.pl/cat6000-fwsm?psrtdcat20e2[/url] (只面向注册客户)
注意:Interim镜像尚未经过全面的回归测试。每个单独的补丁都已经经过了单元测试,镜像经过了有限数量的自动回归测试,可以保证基本的功能。如果您决定将它们用于实际工作环境,请牢记它们的这种测试状态。我们强烈建议您在完全测试版本发布之后升级到经过完全测试的Maintenancee或Feature版本。
对策
要解决这个问题,应当按照网络安全最佳实践,将身份验证方法设置为一个外部的RADIUS/TACACS+服务器。如需了解更多关于怎样配置身份验证的信息,请访问以下网址:
PIX/ASA: [url]http://www.cisco.com/univercd/cc/td/doc/product/multisec/asa_sw/v_70/config/aaa.htm[/url]
FWSM:
[url]http://www.cisco.com/univercd/cc/td/doc/product/lan/cat6000/mod_icn/fwsm/fwsm_3_1/fwsm_cfg/aaa_f.htm[/url]
如果启动配置中的密码已经因为软件崩溃或同时更新配置而被修改,如果没有配置外部AAA身份验证,管理员需要执行密码恢复步骤。
关于PIX和ASA的密码恢复步骤的文档,可以从下面这个网址获得:
[url]http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_password_recovery09186a008009478b.shtml[/url]
关于FWSM的密码恢复步骤的文档,可以从下面这个网址获得:
[url]http://www.cisco.com/univercd/cc/td/doc/product/lan/cat6000/mod_icn/fwsm/fwsm_3_1/fwsm_cfg/troubl_f.htm#wp1049302[/url]
另外,通过只允许来自于已知的、可靠的IP地址的远程连接,也可以限制防火墙设备的受影响程度。对于Secure Shell(SSH)、Telnet和加密超文本传输协议(HTTPS)访问,分别可以通过ssh、telnet和http命令实现这种限制。如需进一步了解这方面的信息,请参阅思科安全设备CLI配置指南的“管理系统权限”部分,网址是:
[url]http://www.cisco.com/univercd/cc/td/doc/product/multisec/asa_sw/v_70/config/mgaccess.htm[/url]
对于FWSM,请注意:对它的远程访问也可以通过配有FWSM刀片模块的Cisco Catalyst 6500交换机或Cisco 7600系列路由器获得。因此,需要利用访问控制列表配置这些交换机或路由器,只允许来自于已知的、可靠的IP地址的连接。
获取打过补丁的软件
思科将向受到影响的客户免费提供消除这个漏洞的软件。随着补丁软件的推出,本公告也将进行相应的更新。在部署软件之前,客户应当询问他们的维护服务供应商,或检查软件的功能集兼容性和他们环境的已知问题。
客户只能安装和获得对于他们所购买的功能集的支持。在安装、下载、访问或使用这些升级软件时,客户必须同意遵守思科的软件授权条款(详见:
[url]http://www.cisco.com/public/sw-license-agreement.html[/url]),或Cisco.com Downloads中规定的条款([url]http://www.cisco.com/public/sw-center/sw-usingswc.shtml[/url])。
请不要向[email]psirt@cisco.com[/email]或[email]security-alert@cisco.com[/email]发信索取升级软件。
签署了服务合同的客户
签署了服务合同的客户应当通过他们的正常升级渠道获得升级的软件。对于大部分客户,这意味着他们应当通过思科的全球网站([url]http://www.cisco.com[/url])上的软件中心获得升级。
求助于第三方支持机构的客户
过去或目前由第三方支持机构(例如思科合作伙伴、授权经销商或电信运营商)维护和提供思科产品的客户应当联系这些支持机构,就与本公告有关的正确措施获取指导和帮助。
任何对策或补丁的效果都取决于客户所处的特定情况,例如产品组合、网络拓扑、流量特征和机构任务等。因为受影响的产品和版本的多样性,客户应当咨询他们的服务供应商或支持机构,在部署任何对策或补丁之前确保它们适用于特定的网络环境。
没有签署服务合同的客户
直接从思科购买产品,但是没有签署思科服务合同的客户,以及通过第三方供应商购买产品,但是无法通过它们过去的销售点获得补丁软件的客户,应当联系思科技术支持中心(TAC)来获得升级软件。TAC的联系方式如下:
#8226; +1 800 553 2447 (北美免费电话)
#8226; +1 408 526 7209 (世界其他地方的收费电话)
#8226; e-mail: [email]tac@cisco.com[/email]
请准备好您的产品的序列号,将本通知的网址作为您有权获得免费升级的证明。未签署服务合同的客户必须通过TAC申请获得免费升级。
如需了解其他的TAC联系信息,请访问:
[url]http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml[/url]。这里提供了针对不同语言的本地化服务电话号码、使用说明和电子邮件地址。
破坏情况和公开声明
尽管我们了解到本软件漏洞已经对某些客户产生了影响,但是思科PSIRT没有发现任何针对本问题的公共声明或恶意破坏行为。
本问题是由来自Helse Nord IKT的Terje Bless提出的,之后立即引起了思科的关注。思科非常感谢他与我们一同公布并解决这个问题。
本通知的状态:最终
本文是“按照原样”提供的,思科不提供任何形式的担保,其中包括但不仅限于对于可商用性和针对某个特定用途的适用性。如果您需要使用本文或本文所链接的材料中的信息,您需要自行承担风险。思科保留随时更改或更新本文的权利。
除了下一节中的分发网址所提供的版本以外,本文内容的独立副本或翻译属于思科的控制范围之外,可能会遗漏重要的信息或包含错误的信息。
分发
本公告发布在思科的全球网站上,网址是:
[url]http://www.cisco.com/warp/public/707/cisco-sa-20060823-firewall.shtml[/url]
除了在网上公布之外,本通知的一个文本版本经过思科PSIRT PGP密码签名,发给下列电子邮件和Usenet新闻组收件人:
#8226; [email]cust-security-announce@cisco.com[/email]
#8226; [email]first-teams@first.org[/email]
#8226; [email]bugtraq@securityfocus.com[/email]
#8226; [email]vulnwatch@vulnwatch.org[/email]
#8226; [email]cisco@spot.colorado.edu[/email]
#8226; [email]cisco-nsp@puck.nether.net[/email]
#8226; [email]full-disclosure@lists.grok.org.uk[/email]
#8226; [email]comp.dcom.sys.cisco@newsgate.cisco.com[/email]
本公告将来的更新版本(如果有的话)将会发布到思科的全球网站上,但是不一定会被主动发布到邮件列表或新闻组之中。我们建议关心这个问题的用户经常访问上面介绍的网址,了解最新情况。
修订历史
版本1.0 2006年8月23日 最初公开版本
思科安全步骤
如需关于报告思科产品的安全漏洞的全部信息,获得关于安全事件的帮助,以及通过注册获得思科提供的安全信息,请访问思科网站:
[url]http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html[/url]。这里提供了关于思科安全通知的媒体查询说明。所有思科安全公告都可以从
[url]http://www.cisco.com/go/psirt[/url]获得。
思科系统公司1992-2006年版权所有。重要通知和隐私声明。
页:
[1]