安全研究

安全漏洞
Check Point FireWall-1 允许伪造的RDP报文通过

发布日期:2001-07-09
更新日期:2001-07-12

受影响系统:

Check Point VPN-1/FireWall-1 4.1 SP4
Check Point VPN-1/FireWall-1 4.1 SP3
Check Point VPN-1/FireWall-1 4.1 SP2
Check Point VPN-1/FireWall-1 4.1 SP1
Check Point VPN-1/FireWall-1 4.1及其更低版本
描述:

BUGTRAQ  ID: 2952
CVE(CAN) ID: CVE-2001-1158

Chechk Point FireWall-1防火墙存在一个安全漏洞,允许攻击者绕过防火墙的过滤
规则。

Chechk Point使用一个私有协议RDP(使用UDP/259端口)来进行一些内部通信,例如防火
墙的管理,因此Check Point设置了一些默许规则。缺省情况下,为了简化加密设置,
VPN-1/FireWall-1的默许规则允许RDP报文穿过防火墙网关。防火墙只检查目的端口是
不是UDP/259、报文中有没有RDP命令,如果这两个条件满足,就允许报文通过,不管防
火墙的过滤规则如何设置。因此攻击者只要在正常的UDP报文内容中增加一个伪造的RDP
头部,就可以将任意的内容传递给防火墙两端的任意远程主机的UDP/259端口。


攻击者可以很容易伪造RDP报文来穿透防火墙进行通信。最可能的方式是利用这种方式与
防火墙后面主机上的木马或病毒通信。

<*来源:Jochen Bauer (jtb@inside-security.de)
  链接:http://www.inside-security.de/advisories/fw1_rdp.html
        http://www.checkpoint.com/techsupport/alerts/rdp.html
*>


建议:

临时解决方法:

您可以采取下列方法来减少这个问题的危害:

  - 在Check Point策略编辑器中禁止默许规则
  - 在边界路由器上屏蔽对259端口的UDP通信

厂商补丁:

CheckPoint已经为此发布了一个安全公告和相应的补丁。
您可以在下列地址看到安全公告的详细内容:

http://www.checkpoint.com/techsupport/alerts/rdp.html

补丁下载:

NSFOCUS建议您立刻升级到VPN-1/FireWall-1 4.1 Service Pack 4然后安装SP4 hotfix,
然后再安装一个policy。
您可以在下列地址下载相应补丁:
http://www.checkpoint.com/techsupport/downloads/downloads.html


浏览次数:4009
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障