发布日期：2009-04-08
更新日期：2009-04-09

受影响系统：

Cisco PIX Firewall 8.1
Cisco PIX Firewall 8.0
Cisco PIX Firewall 7.2
Cisco PIX Firewall 7.1
Cisco PIX Firewall 7.0
Cisco ASA 8.1
Cisco ASA 8.0
Cisco ASA 7.2
Cisco ASA 7.1
Cisco ASA 7.0

描述：

---

BUGTRAQ  ID: 34429
CVE(CAN) ID: CVE-2009-1155,CVE-2009-1156,CVE-2009-1157,CVE-2009-1158,CVE-2009-1159,CVE-2009-1160

PIX是一款防火墙设备，可为用户和应用提供策略强化、多载体攻击防护和安全连接服务；自适应安全设备（ASA）是可提供安全和VPN服务的模块化平台。

Cisco ASA 5500系列自适应安全设备和Cisco PIX安全设备中存在多个安全漏洞，远程攻击者可以利用这些漏洞导致拒绝服务或绕过限制执行非授权操作。

绕过VPN认证漏洞
+--------------------------------------

   Cisco ASA或Cisco PIX安全设备可以配置为忽略AAA服务器的account-disabled指示，用户仍可登录。但是，用户必须提供正确的凭据才能登录到VPN。Cisco ASA和Cisco PIX安全设备中存在安全漏洞，如果启用了override account功能VPN用户就可以绕过认证。
  
   这个漏洞在Cisco Bug ID中记录为Cisco Bug ID CSCsx47543，所分配的CVE ID为CVE-2009-1155。

特制HTTP报文拒绝服务漏洞
+------------------------------------

   特制的SSL或HTTP报文可能在配置为终止SSL VPN连接的Cisco ASA设备上导致拒绝服务的情况。还可在任何允许ASDM访问的接口上触发这个漏洞。成功攻击可导致设备重载，无需TCP三重握手就可以利用这个漏洞。
  
   这个漏洞在Cisco Bug ID中记录为CSCsv52239，所分配的CVE ID为CVE-2009-1156。

特制TCP报文拒绝服务漏洞
+-----------------------------------

   特制的TCP报文可能在Cisco ASA或Cisco PIX设备上导致内存泄露，成功攻击可导致持续的拒绝服务。配置了任意以下功能的Cisco ASA设备受影响：
  
  * SSL VPN
  * ASDM管理访问
  * Telnet访问
  * SSH访问
  * 远程访问VPN的Cisco隧道控制协议（cTCP）
  * 虚拟Telnet
  * 虚拟HTTP
  * 加密语音检查TLS代理
  * 网络访问的直通代理
  * TCP拦截

   向在受影响设备上终止的任何基于TCP的服务发送特制报文都可以触发这个漏洞，仅在启用TCP拦截功能的情况下中间通讯才可以触发这个漏洞。无需TCP三重握手就可以利用这个漏洞。

   这个漏洞在Cisco Bug ID中记录为CSCsy22484，所分配的CVE ID为CVE-2009-1157。

特制H.323报文拒绝服务漏洞
+-------------------------------------

   特制的H.323报文可能在配置了H.323检查的Cisco ASA设备上导致拒绝服务，成功攻击可能导致设备重载。无需TCP三重握手就可以利用这个漏洞。

   这个漏洞在Cisco Bug ID中记录为CSCsx32675，所分配的CVE ID为CVE-2009-1158。

SQL*Net报文拒绝服务漏洞
+-------------------------------

   一系列SQL*Net报文可能在配置了SQL*Net检查的Cisco ASA和Cisco PIX设备上导致拒绝服务的情况。SQL*Net检查是默认启用的，成功攻击可导致设备重载。必需TCP三重握手才可以利用这个漏洞，这极大的降低了使用伪造源址报文攻击的可能性。

   这个漏洞在Cisco Bug ID中记录为CSCsw51809，所分配的CVE ID为CVE-2009-1159。

绕过ACL漏洞
+---------------------------------------

   对于没有匹配ACL中任何permit或deny ACE且到达了ACL末尾的报文，访问列表会执行其暗示的拒绝行为。这种暗示的拒绝是设计决定的，不需要任何配置，可以理解为拒绝所有到达ACL末尾通讯的未明确载明ACE。Cisco ASA和Cisco PIX中的安全漏洞可能允许通讯绕过这种暗示的deny ACE。
  
   这种行为仅影响设备上所应用ACL的暗示的拒绝语句，有明确拒绝语句的访问控制列表不受这个漏洞影响。这个漏洞在很罕见的情况下才会出现，且极难重现。
  
   这个漏洞在Cisco Bug ID中记录为CSCsq91277，所分配的CVE ID为CVE-2009-1160。

<*来源：Gregory W. MacPherson
        Jon Ramsey
  
  链接：http://secunia.com/advisories/34607/
        http://www.cisco.com/warp/public/707/cisco-sa-20090408-asa.shtml
*>

建议：

---

临时解决方法：

绕过VPN认证漏洞
+--------------------------------------

   以tunnel-group general-attributes配置模式使用no override-account-disable命令禁用override account功能。

特制HTTP报文拒绝服务漏洞
+------------------------------------

   如果没有使用SSL VPN（无客户端或基于客户端），管理员应确保仅允许可信任的主机发起ASDM连接。
  
   如果要确认安全设备接受ASDM的HTTPS连接的IP地址，对每个可信任的主机地址或子网配置http命令。以下示例显示如何将IP地址为192.168.1.100的可信任主机添加到配置：

    hostname(config)# http 192.168.1.100 255.255.255.255

特制H.323报文拒绝服务漏洞
+------------------------------------

   使用no inspect h323命令禁用H.323检查。

SQL*Net报文拒绝服务漏洞
+-------------------------------

   使用no inspect sqlnet命令禁用SQL*Net检查。

绕过ACL漏洞
+---------------------------------------------

   在配置ACL的接口上删除所应用的access-group行然后重新应用，例如：

    ASA(config)#no access-group acl-inside in interface inside
    ASA(config)#access-group acl-inside in interface inside

   在上面的例子中，删除了acl-inside访问组然后重新应用到inside接口。或者，可以在该接口上所应用ACL的底部添加明确的deny ip any any行，例如：

    ASA(config)#access-list 100 deny ip any any

   在上面的例子中，在access-list 100的末尾添加了对所有IP通讯的明确拒绝行为。

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20090408-asa）以及相应补丁:
cisco-sa-20090408-asa：Multiple Vulnerabilities in Cisco ASA Adaptive Security Appliance and Cisco PIX Security Appliances
链接：http://www.cisco.com/warp/public/707/cisco-sa-20090408-asa.shtml

补丁下载：

http://www.cisco.com/pcgi-bin/tablebuild.pl/ASAPSIRT
http://www.cisco.com/pcgi-bin/tablebuild.pl/PIXPSIRT

浏览次数：4094
严重程度：0（网友投票）