Cisco warnt vor Löchern in seiner PIX-Firewall

Der Netzwerkausrüster Cisco Systems warnt seine Kunden vor einem Sicherheitsloch in seiner ‘PIX’-Firewall und der Firewall-Software, die auf den Switches der Reihen ‘Catalyst 6500’ beziehungsweise ‘7600’ laufen. Durch das Leck kann ein Remote-Angriff über Abfragen, basierend auf  Hypertext Transfer Protocol (HTTP) oder Simple Network Management Protocol (SNMP), gegen die Firewall gefahren werden und diese im Ernstfall auch ausschalten.
Mit einer Denial of Service-Attacke (DoS) können bestimmte Versionen der PIX Firewall durchbrochen und neu gestartet werden, wenn sie Nachrichten erhalten, die auf SNMP Version 3 (SNMP 3) basieren. Firewalls würden diese Update-Version nicht unterstützen, heißt es in einem Sicherheits-Bulletin der Firma. Voraussetzung für den Angriff aber sei, dass der SNMP-Server für das Cisco-Sicherheitssystem konfiguriert ist und selbst als VPN-Client arbeitet.

Auch die Firewall Service Module (FWSM) des Herstellers sind demnach anfällig gegen DOS-Attacken wenn sie auf der Version 3 des SNMP laufen. Mit der FWSM-Software, die auf dem PIX-Betriebssystem läuft, können die Catalyst-Switches als Firewalls eingesetzt werden.

Daneben gibt es noch eine weiteres Buffer-Overflow-Leck in der FWSM. Hacker können über Remote Authentification Dial-In User Service (RADIUS) oder über Terminal Access Controller Access Control System (TACACS+) mit einem Authentifizierungsbefehl die Firewall außer Kraft setzen.

Diese Fehler treten bei PIX der Versionen 6.x, 5.x und früheren Versionen auf, sowie bei den Catalyst-Switches 6500 und 7600, die mit der FWSM-Software laufen, bis zu der Version 1.1.2. Der Hersteller rät in den genannten Fällen zu Updates auf die aktuellen Versionen und bietet regional Hilfe an. Einige deutsche Cisco-User diskutierten die Fehler bereits in verschiedenen Online-Foren und stuften sie als nicht besonders kritisch ein.