PIX Firewall Manager泄漏防火墙口令漏洞

　　 
　　发布日期: 2001-10-10
　　
　　
　　
　　更新日期: 2001-10-12
　　
　　受影响的系统:
　　
　　Cisco PIX Firewall Manager (PFM) 4.3（2）g
　　
　　- Microsoft Windows NT
　　

　　描述:
　　
　　Cisco PIX Firewall Manager(PFM)是Cisco开发的一个管理PIX防火墙设备的管理软件。
　　
　　它存在一个安全隐患，可能导致攻击者获得对PIX防火墙的完全访问。
　　
　　PFM可以安装在Windows NT工作站或者服务器上，它在成功地联到一台PIX设备之后，会将"enable"口令以明文方式保存在管理工作站的一个文件中，这个文件所在目录是安装时创建的，缺省没有访问限制。如果攻击者可以访问管理工作站，就可能获取PIX设备的“enable”口令，从而完全控制PIX设备。
　　
　　
　　
　　<*来源：Florencio Umel (fumel@novacoast.com)
　　
　　链接：http://archives.neohapsis.com/archives/bugtraq/2001-10/0071.
　　
　　html
　　
　　*>
　　
　　
　　
　　
　　
　　测试程序：
　　
　　
　　警 告
　　
　　
　　
　　以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！
　　
　　
　　
　　Florencio Umel (fumel@novacoast.com) 提供了如下测试代码：
　　
　　
　　
　　1) 安装PFM软件
　　
　　2) 运行PFM并且正确连入一台PIX防火墙设备。
　　
　　3) 等候PFM完成从防火墙的数据收集
　　
　　4) PFM会创建一个 "PFM.LOG"文件，缺省目录在
　　
　　 C:\Program Files\Cisco\PIX Firewall Manager\protect
　　
　　5) 在这个文件中，enable口令以如下方式明文保存：:
　　
　　 Aug 01 2001 14:59:18 - 9004
　　
　　 192.168.1.100 0 0 0 1 5 **明文方式的enable口令**
　　
　　
　　建议:
　　
　　
　　
　　厂商补丁：
　　
　　
　　
　　Cisco已经不再支持PFM软件。Cisco建议用户将PIX设备的软件版本升级到6.0或者更高,然后使用"PIX Device Manager"来代替PFM软件进行管理。该软件的详细信息可在下列链接找到：
　　
　　http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/prodlit/pixdm_ds.htm
　　
　　
　　
　　如果用户无法升级到PIX设备软件。应该设置PFM.LOG文件或者所在目录的访问权限，禁止普通用户访问；另外，每次连接完PIX设备后，应当手工删除PFM.LOG文件中的口令。

原文转自：http://www.ltesting.net