viernes, 16 de febrero de 2007

Dos vulnerabilidades en el sistema IPS de Cisco IOS

Se han encontrado dos vulnerabilidades en el sistema de prevención de intrusos (IPS) de Cisco IOS.
* Paquetes IP fragmentados podrían ser usados para eludir la inspección de firmas. Algunas firmas IPS utilizan expresiones regulares. Existe un fallo por el que un atacante podría eludir estas firmas IPS si se usa tráfico especialmente manipulado como fragmentos IP. Esto puede resultar en que potencialmente, tráfico no deseado podría eludir la inspección de firmas y potencialmente atacar a los sistemas protegidos .Las firmas IPS que no usen expresiones regulares no se ven afectadas.

* Las firmas que utilizan la funcionalidad de expresiones regulares del motor de firmas ATOMIC.TCP puede hacer que el router deje de funcionar y provocar una denegación de servicio. Por ejemplo la firma 3123.0 ha demostrado disparar esta vulnerabilidad.

Parte de la gama Cisco IOS 12.x se ve afectada. Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes software para solucionar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/en/US/products/products_security_advisory09186a00807e0a5b.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Multiple IOS IPS Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20070213-iosips.shtml