Sårbarhet i en rekke brannmurer

Publisert: 17.11.2016 | Sist endret: 11.01.2017

NorCERT er kjent med at det danske selskapet TDC har avdekket en sårbarhet i utvalgte brannmurer [1]. Sårbarheten gjør det mulig å utføre en form for tjenestenektangrep på prosessorkraften i brannmuren. Ved å overøse brannmuren med pakker av typen ICMP type 3, kode 3 (Destination Unreachable, Port Unreachable) vil det være mulig å hindre vanlig prosessering av pakker.

Under følger listen over bekreftet berørte produkter kl 09:32, 10. november. Denne listen vil imidlertid bli oppdatert ettersom det kommer inn nye rapporter nederst på nettsiden deres [1].

  • Cisco ASA 5515, 5525 (default settings)
  • SonicWall
  • Some unverified Palo Alto

En anbefalt form for skadereduserende tiltak er å deaktivere pakker av typen ICMP type 3 kode 3 på WAN-interface. NorCERT har mottatt meldinger om at dette kan føre til problemer for legitime tjenester, som for eksempel IPSec [2]. Dersom en ønsker å mitigere sårbarheten, men ikke har mulighet til å deaktivere prosessering av denne typen trafikk, bør en vurdere rate-begrensning om dette er mulig.

  1. http://blacknurse.dk
  2. http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/command/reference/cmd_ref/i1.html