本文介绍了思科防火墙5510存在因输入验证不足导致的安全漏洞,该漏洞可能让认证后的远程攻击者向内部服务发送未经授权的HTTP请求。此问题强调了网络安全中的标准实践和输入验证的重要性。
思科防火墙5510打开端口
标准安全性实践是任何产品的基准,即使是最初级的软件开发人员也应了解任何项目的最低安全性要求。 然而,诸如缺少输入验证之类的简单问题仍然困扰着整个行业。
例如,在1.2.5之前的思科数字网络体系结构(DNA)中心版本的软件映像管理元素中发现了防火墙漏洞(CVE-2019-1841)。 此漏洞源于对用户提供的输入的验证不足,并且可能允许经过身份验证的远程攻击者向未经授权的内部服务发送任意HTTP请求。
检查防火墙安全性
根据CVSS V3的8.1评分,此防火墙漏洞的严重性排名为高,在机密性和完整性类别中的评分也很高。 攻击者可以读取或更改防火墙规则表,和/或发现哪些内部服务在防火墙主机上受到保护。
黑客可能会绕过思科的高端下一代防火墙(NGFW)进行攻击。 以威胁为中心的NGFW提供了高级威胁检测和补救以及传统NGFW的所有功能。 防火墙使用网络和端点事件关联来帮助检测逃避或可疑的网络活动,而统一策略则有助于降低威胁的复杂性。 但是,攻击者可以使用Cisco DNA Center绕过防火墙并修改防火墙规则表。
具体来说,绕过漏洞是由防火墙实施和配置引起的弱点,黑客可以利用该弱点从防火墙外部或内部攻击可信网络。
可以利用此Cisco防火墙漏洞的程度取决于三件事:
- 整体防火墙技术;
- 防火墙的配置; 和
- 防火墙实施的复杂性。
与高级防火墙相比,代理服务器更容易受到防火墙攻击,因为它仅限于提供内容缓存和防止来自外部的直接连接。
如何消除防火墙漏洞
为了克服此限制,状态检测防火墙被设计为允许或阻止基于状态,端口和协议的流量。 这种类型的防火墙不会检测到不必要的打开端口,不使用时不会关闭,并且包括默认情况下由操作系统隐藏的打开端口。
防火墙发展的最高层是统一的威胁管理防火墙。 这种类型的防火墙包括状态检查,并允许管理员设置与入侵防御,防病毒软件和其他服务的松散耦合。
下一代防火墙所做的不只是简单的数据包过滤和状态检查。 它们阻止高级恶意软件和应用程序层攻击,并自动执行安全操作,以节省企业网络中的时间。 如果您的预算允许,请考虑移至下一代防火墙,以帮助避免安全故障。
对于Cisco DNA Center防火墙漏洞,服务不会被拒绝。 它会继续运行, 同时攻击者可以访问内部服务。 Cisco DNA Center版本1.2.10包括漏洞修复程序,并且可用。
思科防火墙5510打开端口
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
