Cisco PIX Firewall Manager Ternyata Mengekspos Password Tuesday, October 16, 2001- Jumlah Klik [3315] , Penulis

: [-Shaman-] Jasakom - Anda tentunya tidak asing lagi mendengar produk Cisco yang cukup terkenal dengan produk Router dan Firewallnya. Tapi meskipun firewall yang tujuan nya untuk mem-proteksi suatu network ternyata juga dapat menjadi gerbang masuk para hacker. Novacoast.com yang merupakan perusahaan IT yang memberikan service dari network sampai dengan security telah menemukan vulnerability yang ada di produk Cisco ini. Dimana pada Cisco PIX Firewall Manager ini ternyata dapat mengekspos dan menyimpan password, yang digunakan untuk mengatur PIX ini dalam bentuk text. Maka tentunya user yang iseng maupun hacker dapat menggunakan jalan ini untuk memperoleh akses yang full ke PIX firewall. PIX Firewall Manager (PFM), merupakan software yang digunakan untuk mengkonfigurasi Cisco PIX yaitu dengan melalui GUI yang berbasis web. Software ini dapat anda jalankan di NT workstation ataupun server yang digunakan sebagai station atau pusat untuk mengatur PIX tsb. Kebocoran terjadi dimana pada saat anda berhasil mengadakan koneksi ke PIX tsb, maka password yang digunakan tsb di simpan ke dalam station dalam bentuk text file yang tidak di enkrip sama sekali. Text file tsb disimpan di dalam direktory, tempat dimana anda install software tsb tanpa di proteksi oleh segala macam authentication. Jadi bagi user yang dapat mengakses file tsb, tentunya dengan mudah mendapatkan password yang ada di dalam nya tanpa harus melakukan dekripsi. Contoh exploit : 1. Install PFM sesuai dengan yang diinstruksikan 2. Jalankan PFM, dan konek ke PIX firewall dengan IP yang benar dan password yang telah di diaktivkan. 3. Tunggu sampai dengan PFM selesai melakukan pengumpulan data yang ada di firewall. 4. PFM log file akan terbentuk pada direktory C:\Programm Files\Cisco\PIX Firewall Manager\protect 5. Password yang telah di aktifkan (enabled) akan di simpan di dalam file dalam bentuk text seperti contoh berikut : Aug 01 2001 14:59:18 <Receiving msg> - 9004 192.168.1.100 0 0 0 1 5 **enable_pswd_here** Versi yang vulnerable: Telah dilakukan testing pada versi PFM 4.3(2)g dan vulnerability ditemukan pada PIX 5.2(1). Untuk masalah ini Cisco telah memberikan tanggapan bahwa PFM akan di gantikan oleh produk PIX Device Manager, dan maka dari itu perbaikan dari produk yang telah ada ini tidak akan dilakukan. Untuk informasi produk yang lebih mendetil anda dapat mengunjungi http://www.cisco.com/warp/public/cc/pd/fw/sqfw500/prodlit/pixdm_ds.htm Tentu anda perlu ketahui bahwa untuk menembus ke dalam PFM station tentunya tidak terlepas dari hole yang ada di platform NT. Maka dari itu network admin perlu dengan sangat hati-hati menjaga station PFM tsb, khususnya dari sisi NT security. Segala macam hak akses untuk direktory, dimana PFM LOG file tsb berada harus benar-benar diperhatikan. Setelah anda mengadakan koneksi ke PIX menggunakan PFM, anda dapat mengedit PFM.LOG dan menghapus PIX enable password yang ada di dalamnya atau dapat juga menghapus file tsb. Cisco bahkan menyarankan user yang menggunakan produk tsb lebih memperhatikan network environment securitynya dan mengupdate software dari produk-produk yang digunakan. Sedangkan untuk masalah PFM ini mereka menganjurkan untuk mengupgrade software tsb ke PIX device ver 6.0 atau yang lebih tinggi. Uninstall PIX Firewall Manager dari NT workstation dan mulai menggunakan PIX Device Manager untuk GUI management dari PIX device ini. Bahkan jika anda tidak dapat melakukan

upgrade pada software ini, CISCO menyarankan untuk memfokuskan pada NT security. [-Shaman-]