Firewall
Det var den 12 april som NSS Labs släppte sin rapport ”Network Firewall Comparative Group Test Report ” om upptäckta sårbarheter i flera hårdvarubrandväggar.

De testade brandväggarna är: Check Point Power-1 11065, Cisco ASA 5585-40, Fortinet Fortigate 3950, Juniper SRX 5800, Palo Alto Networks PA-4020 och Sonicwall NSA E8500.

Check Points brandvägg var den enda som klarade sig utan anmärkningar.

Sårbarheterna upptäcktes i samband med omfattande säkerhetstester och rör en typ av attack som kallas för tcp split handshake. Om attacken lyckas kan en angripare få ökade rättighetsprivilegier från externa nätverksanslutningar.

TechWorld skrev i samband med rapporten om sårbarheterna (läs mer här: Underkänt för 5 av 6 brandväggar ) och gjorde en uppföljande artikel där alla fick komma till tals (läs mer här: Svar på tal om underkända brandväggar ).

Den historien fortsätter nu, fast i ett mer positivt ljus. Nu har nämligen flera av de leverantörer som berörts hunnit släppa uppdateringar som ska åtgärda sårbarheterna. Ett undantag är dock Cisco, som inte släppt någon uppdatering men som i stället rekommenderar en så kallad workaround.

Från den 6 maj har leverantörerna vidtagit följande åtgärder för att motverka en tcp split handshake-attack:

  • Fortinet har släppt en uppdatering
  • Juniper har ändrat brandväggens standardinställningar
  • Palo Alto Networks har släppt en uppdatering
  • Sonicwall informerar om att skyddet redan ingår som inställning i brandväggsoperativet sedan 2004
  • Cisco rekommenderar en säkerhetsåtgärd som bygger på access control-listor (acl), som enligt NSS Labs ger skydd i vissa fall, dock ej alla.

NSS Labs rekommenderar att nätverksadministratörer snarast vidtar säkerhetsåtgärderna, men också att nya konfigurationer, som till exempel de som Cisco föreslår, testas innan de rullas ut i en aktiv produktionsmiljö.