发信人: liwhite(海阔天空)
整理人: firphoenix(2002-02-05 23:17:14), 站内信件
|
Cisco PIX Firewall Manager泄漏防火墙口令漏洞
发布日期: 2001-10-10
更新日期: 2001-10-12
受影响的系统:
Cisco PIX Firewall Manager (PFM) 4.3(2)g
- Microsoft Windows NT
描述:
------------------------------------------------------------------------
--------
Cisco PIX Firewall Manager(PFM)是Cisco开发的一个管理PIX防火墙设备的管理
软件。
它存在一个安全隐患,可能导致攻击者获得对PIX防火墙的完全访问。
PFM可以安装在Windows NT工作站或者服务器上,它在成功地联到一台PIX设备之后
,会将
"enable"口令以明文方式保存在管理工作站的一个文件中,这个文件所在目录是安
装时
创建的,缺省没有访问限制。如果攻击者可以访问管理工作站,就可能获取PIX设
备的
“enable”口令,从而完全控制PIX设备。
<*来源:Florencio Umel ([email protected])
链接:http://archives.neohapsis.com/archives/bugtraq/2001-10/0071.
html
*>
测试程序:
------------------------------------------------------------------------
--------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Florencio Umel ([email protected]) 提供了如下测试代码:
1) 安装PFM软件
2) 运行PFM并且正确连入一台PIX防火墙设备。
3) 等候PFM完成从防火墙的数据收集
4) PFM会创建一个 "PFM.LOG"文件,缺省目录在
C:\Program Files\Cisco\PIX Firewall Manager\protect
5) 在这个文件中,enable口令以如下方式明文保存::
Aug 01 2001 14:59:18 <Receiving msg> - 9004
192.168.1.100 0 0 0 1 5 **明文方式的enable口令**
------------------------------------------------------------------------
--------
建议:
厂商补丁:
Cisco已经不再支持PFM软件。Cisco建议用户将PIX设备的软件版本升级到6.0或者
更高,
然后使用"PIX Device Manager"来代替PFM软件进行管理。该软件的详细信息可在
下列
链接找到:
http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/prodlit/pixdm_ds.htm
如果用户无法升级到PIX设备软件。应该设置PFM.LOG文件或者所在目录的访问权限
,禁止
普通用户访问;另外,每次连接完PIX设备后,应当手工删除PFM.LOG文件中的口令
。
--
----
海阔凭鱼跃天高任鸟飞 |
|