Salto de restricciones de acceso en Cisco Firewall Services Module

Cisco ha anunciado una vulnerabilidad en su módulo FWSM (Firewall Services Module) versiones 2.3.1 y anteriores que permitiría a cierto tipo de tráfico saltarse las listas de acceso expresamente dadas para filtrar tráfico.

El FWSM es un firewall integrado en los switches Catalyst 6500 y routers Cisco 7600.

Esta vulnerabilidad aparece cuando se activa el filtrado de URL, FTP o HTTPS y se añaden excepciones a dicho filtrado de contenidos. Si el añadido de excepciones de filtrado a URL, HTTPS o FTP se hace mediante el comandos de tipo ‘filter < url | https | ftp > except’ para excluir ciertas direcciones del proceso es cuando se presenta el problema, ya que cuando algún tráfico TCP se ajusta a dicha excepción, deja de aplicársele el resto de la ACL en cualquier interfaz del dispositivo.

Se recomienda actualizar a la versión 2.3(2) o posterior de FWSM. Si se dispone de versiones antiguas y no se quiere actualizar a la rama 2.3, los usuarios de la 2.2 pueden actualizar a 2.2(1)18 y los de la 1.1 a la 1.1(4)4 o posterior.

La dirección para descargar las actualizaciones es la oficial de costumbre: http://www.cisco.com