Risque
Contournement des règles de filtrage des routeurs.
Systèmes affectés
Routeurs CISCO de la série 12000 uniquement.
Résumé
Sur les CISCO de la série 12000, dans certaines conditions, les ACL (Liste de Contrôles d'Accès) mises en place ne sont pas correctement prises en compte.
Description
Plusieurs vulnérabilités concernant les ACL sur les routeurs CISCO de la série 12000 sont à corriger.
- Les ACL ne permettent de bloquer que le premier élément d'un paquet fragmenté. Il est donc possible de contourner les règles de sécurité du routeur en dissimulant du trafic malveillant dans certains des fragments.
- Le mot clé fragment dans les ACL est ignoré si le paquet est destiné au routeur lui même. Le routeur n'est donc pas protégé par ses ACL.
- Ce mot clé est ignoré dans les ACL s'appliquant aux paquets sortants, une règle contenant ce mot clé ne s'applique que sur les paquets entrants.
Il peut même arriver que ce mot clé soit ignoré dans tous les cas.
- Une règle implicite deny ip any any placée en fin d'une ACL d'exactement 448 entrées appliquée à une interface (contrôle d'accès du trafic sortant) sera ignorée.
- Une ACL risque de ne pas bloquer certains paquets du trafic sortant, si une autre liste concernant le trafic entrant existe mais n'est pas appliquée à toutes les interfaces d'un système de type Engine 2 uniquement.
Solution
Appliquer les correctifs comme indiqué dans l'avis de CISCO. (cf. Section Documentation)
Documentation
Avis de sécurité de CISCO :
http://www.cico.com/warp/public/707/GSR-ACL-pub.shtml
