受影响系统:
Cisco PIX/ASA 7.2
Cisco PIX/ASA 7.1
不受影响系统:
Cisco PIX/ASA 7.2(2)8
Cisco PIX/ASA 7.2(2)19
Cisco PIX/ASA 7.2(2)17
Cisco PIX/ASA 7.1(2)49
描述:
PIX是一款防火墙设备,可为用户和应用提供策略强化、多载体攻击防护和安全连接服务;自适应安全设备(ASA)是可提供安全和VPN服务的模块化平台。
Cisco PIX/ASA设备中存在多个远程漏洞,远程攻击者可能利用此漏洞导致设备无法正常工作或绕过认证。
具体如下:
绕过LDAP认证
使用LDAP AAA服务器对终止的L2TP IPSec隧道或远程管理会话进行认证的Cisco ASA
和PIX设备可能受认证绕过攻击的影响,更多信息请见以下公告:
* 2层隧道协议(L2TP)
必须将终止L2TP IPSec隧道的设备配置为同CHAP、MS-CHAPv1或MS-CHAPv2认证协议
使用LDAP才会出现这个漏洞。如果同PAP使用LDAP认证的话,设备不受LDAP L2TP绕
过认证的影响。
* 远程管理访问
使用LDAP AAA服务器进行管理会话认证(telnet、SSH和HTTP)的Cisco ASA和PIX
设备受绕过认证攻击的影响。访问管理会话必须在设备配置中明确的启用且仅限于
所定义的IP地址。
这个漏洞在Cisco Bug ID中记录为CSCsh42793。
口令过期VPN拒绝服务
如果隧道组配置了口令过期的话,终止远程访问VPN连接的Cisco ASA和PIX设备可
能受拒绝服务攻击的影响。如果要对IPSec VPN连接利用这个漏洞,攻击者必须知
道组名称和组口令,但对SSL VPN连接无须知道这些信息。成功攻击可导致设备重
载。
这个漏洞被记录为软件bug CSCsh81111。
SSL VPN拒绝服务
使用无客户端SSL VPN的Cisco ASA受通过SSL VPN HTTP服务器拒绝服务攻击的影响。
成功攻击必须利用处理非标准SSL会话中的竞争条件,可导致设备重载。
这个漏洞被记录为bug CSCsi16248。
厂商补丁:
Cisco已经为此发布了一个安全公告(cisco-sa-20070502-asa)以及相应补丁:
cisco-sa-20070502-asa:LDAP and VPN Vulnerabilities in PIX and ASA Appliances
链接:http://www.cisco.com/warp/public/707/cisco-sa-20070502-asa.shtml
