domingo, 24 de septiembre de 2006

Vulnerabilidades en Cisco Intrusion Prevention System

Se han identificado dos vulnerabilidades en Cisco Intrusion Detection
(IDS) y Cisco Intrusion Prevention System (IPS) que pueden ser
aprovechadas por atacantes remotos para provocar una denegación de
servicio o eludir restricciones de seguridad.

El primer problema se debe a un error en la interfaz web de
administración, que no maneja de forma adecuada paquetes "Client
Hello" del protocolo SSLv2. Esto puede ser aprovechado por atacantes
para hacer que un dispositivo vulnerable deje de responder a todas las
peticiones de administración remota a través de la interfaz web de
administración o la interfaz de línea de comando (CLI) a través de SSH
y la consola, por fallo del proceso mainApp.

El segundo fallo se debe a un error a la hora de manejar paquetes IP
fragmentados. Esto puede ser aprovechado por atacantes para eludir la
inspección de tráfico, sortear la protección proporcionada por un
dispositivo vulnerable que se ejecute en modo promiscuo o inline y
acceder a sistemas internos.

Los siguientes productos se ven afectados por el primer problema:
* Cisco IDS 4.1(x) con software anterior a 4.1(5c)
* Cisco IPS 5.0(x) con software anterior a 5.0(6p1)
* Cisco IPS 5.1(x) con software anterior a 5.1(2)

Los siguientes productos se ven afectados por el segundo problema:
* Cisco IPS 5.0(x) con software anterior a 5.0(6p2)
* Cisco IPS 5.1(x) con software anterior a 5.1(2)

Cisco ha puesto a disposición de sus clientes software para solucionar
el problema. Puede ser obtenido a través de los canales de
distribución habituales.

Las actualizaciones están disponibles desde:
Para Cisco IPS versiones 5.1(x):
http://www.cisco.com/pcgi-bin/tablebuild.pl/ips5?psrtdcat20e2.

Para Cisco IPS versiones 4.1(x) y 5.0(x):
http://www.cisco.com/pcgi-bin/tablebuild.pl/ids-patches?psrtdcat20e2


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Intrusion Prevention System Management
Interface Denial of Service and Fragmented Packet Evasion Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20060920-ips.shtml