In data 19/06/2008 la Cisco Systems ha notificato l’esistenza di una vulnerabilità che affligge le seguenti versioni di Intrution Prevention System:
* Cisco Intrusion Prevention System version 5.x prior to 5.1(8)E2
* Cisco Intrusion Prevention System version 6.x prior to 6.0(5)E2
In particolare, gli IPS dotati di scheda Gigabit Ethernet e configurati in modalità inline sarebbero esposti, per via della vulnerabilità sopra citata, ad attacchi del tipo Denial Of Service (DoS), i quali potrebbero causare a loro volta un kernel panic ed il successivo forzato riavvio del dispositivo per ripristanarne la completa funzionalità.
Qui di seguito sono riportate le piattaforme IPS soggette a tale bug:
* 4235
* 4240
* 4250
* 4250SX *
* 4250TX
* 4250XL *
* 4255
* 4260
* 4270
Per identificare la versione di software installata sul dispositivo IPS (e scongiurare eventuali future magagne) basta digitare:
sensor# show version
Inoltre, per constatare la presenza di eventuali interfacce in modalità inline occorre usare il seguente comando:
sensor# show interfaces
Il successivo output sarà simile al seguente:
MAC statistics from interface GigabitEthernet0/1
Interface function = Sensing interface
Description =
Media Type = TX
Missed Packet Percentage = 0
Inline Mode = Paired with interface GigabitEthernet0/0
…
MAC statistics from interface GigabitEthernet0/0
Interface function = Sensing interface
Description =
Media Type = TX
Missed Packet Percentage = 0
Inline Mode = Paired with interface GigabitEthernet0/1
Ecco gli IPS non vulnerabili al bug in questione:
* 4210
* 4215
* SSM-AIP10
* SSM-AIP20
* SSM-AIP40
* AIM-IPS
* NM-CIDS
* IDSM2
Infine, bisogna notare che anche le IOS con IPS integrato non sono vulnerabili.
A presto.