Cisco Applied Mitigation Bulletin-
Dieses Applied Mitigation Bulletin ist ein Begleitdokument zur PSIRT-Sicherheitsempfehlung für mehrere Schwachstellen im Cisco Secure Access Control System und bietet Identifizierungs- und Eindämmungstechniken, die Administratoren auf Cisco Netzwerkgeräten bereitstellen können.
-
Das Cisco Secure Access Control System (ACS) enthält Schwachstellen bei der Verarbeitung von IP-Paketen (IPv4) der Remote Method Invocation (RMI). Diese Schwachstellen können ohne Authentifizierung per Remote-Zugriff ausgenutzt werden und erfordern Eingriffe von Endbenutzern. Eine erfolgreiche Ausnutzung dieser Schwachstellen könnte die Ausführung von beliebigem Code ermöglichen. Der Cisco Secure ACS verwendet RMI für die Daten- und Konfigurationsreplikation zwischen ACS-Servern. Die Zugriffskontrolllisten (ACLs) in diesem Dokument gelten daher für vertrauenswürdige Cisco Secure ACS-Server. Client-Computer benötigen keinen Zugriff auf diese TCP-Ports.
Die Angriffsvektoren für die Ausnutzung bestehen aus IPv4-Paketen, die die folgenden Protokolle und Ports verwenden:
- RMI mit TCP-Port 2020
- RMI mit TCP-Port 2030
-
Informationen zu anfälliger, nicht betroffener und fest installierter Software finden Sie in der Cisco Security Advisory, die unter folgendem Link verfügbar ist: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131023-acs.
-
Cisco Geräte bieten eine Reihe von Gegenmaßnahmen für diese Sicherheitslücken. Den Administratoren wird empfohlen, diese Schutzmethoden als allgemeine Best Practices für die Sicherheit von Infrastrukturgeräten und des Datenverkehrs im Netzwerk zu betrachten. Dieser Abschnitt des Dokuments bietet einen Überblick über diese Techniken.
Cisco Secure ACS verwendet RMI auf den TCP-Ports 2020 und 2030 für die Replikation von Konfigurationsinformationen und Daten in einer Bereitstellung mit mehreren Servern. Aus diesem Grund enthalten die vertrauenswürdigen Adressen in den nachfolgenden Beispielen für ACLs die Cisco Secure ACS-Adressen. Clients benötigen keinen Zugriff auf RMI-Ports.
Die Cisco IOS Software bietet mithilfe von Transit Access Control Lists (tACLs) effektive Möglichkeiten zur Verhinderung von Exploits. Dieser Schutzmechanismus filtert und löscht Pakete, die versuchen, diese Schwachstellen auszunutzen.
Die Cisco Adaptive Security Appliance der Serie ASA 5500, das Cisco Catalyst ASA Services Module (ASASM) der Serie 6500 und das Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 sowie Cisco Router der Serie 7600 mit Transit Access Control Lists (tACLs) bieten einen effektiven Schutz vor Sicherheitsrisiken. Dieser Schutzmechanismus filtert und löscht Pakete, die versuchen, diese Schwachstellen auszunutzen.
-
Den Unternehmen wird empfohlen, die potenziellen Auswirkungen dieser Schwachstellen anhand ihrer Standardprozesse zur Risikobewertung und -minderung zu ermitteln. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.
-
Gerätespezifische Eindämmung und Identifizierung
Vorsicht: Die Effektivität jeglicher Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und organisatorischem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.
Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:
Cisco IOS-Router und -Switches
Eindämmung: Transit-Zugriffskontrolllisten
Um das Netzwerk vor Datenverkehr zu schützen, der am Eingangspunkt in das Netzwerk gelangt, z. B. Internetverbindungspunkte, Verbindungspunkte für Partner und Lieferanten oder VPN-Verbindungspunkte, sollten Administratoren Transit-Zugriffskontrolllisten (tACLs) bereitstellen, um die Richtlinien durchzusetzen. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor diesen Schwachstellen bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.
Die tACL-Richtlinie verweigert nicht autorisierte IPv4-Pakete auf den TCP-Ports 2020 und 2030, die an betroffene Geräte gesendet werden. Im folgenden Beispiel steht 192.168.60.0/24 für den IP-Adressraum, der von den betroffenen ACS-Geräten verwendet wird. Die Hosts unter 192.168.100.1 gelten auch als vertrauenswürdige Cisco Secure ACS-Server, die Zugriff auf die betroffenen Geräte benötigen. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird.
Weitere Informationen zu tACLs finden Sie in Transit Access Control Lists: Filtering at Your Edge and Identifying the Effectiveness of Security Mitigations Using Cisco IOS Software.
! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP ports ! access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 2020 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 2030 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 2020 access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 2030 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list 150 deny ip any any ! ! ! !-- Apply tACL to interface in the ingress direction ! interface GigabitEthernet0/0 ip access-group 150 in
Weitere Informationen zu tACLs finden Sie in Transit Access Control Lists: Filtering at Your Edge.Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
Eindämmung: Transit-Zugriffskontrolllisten
Um das Netzwerk vor Datenverkehr zu schützen, der am Eingangspunkt in das Netzwerk gelangt, z. B. Internetverbindungspunkte, Verbindungspunkte für Partner und Lieferanten oder VPN-Verbindungspunkte, sollten Administratoren Transit-Zugriffskontrolllisten (tACLs) bereitstellen, um die Richtlinien durchzusetzen. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor diesen Schwachstellen bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.
Die tACL-Richtlinie verweigert nicht autorisierte IPv4-Pakete auf den TCP-Ports 2020 und 2030, die an betroffene Geräte gesendet werden. Im folgenden Beispiel steht 192.168.60.0/24 für den IP-Adressbereich, der von den betroffenen Cisco Secure ACS-Geräten verwendet wird. Die Hosts unter 192.168.100.1 gelten auch als vertrauenswürdige Cisco Secure ACS-Server, die Zugriff auf die betroffenen Geräte benötigen. Es sollte darauf geachtet werden, dass der erforderliche Datenverkehr für das Routing und den Administratorzugriff zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird.
Informationen zur Verwendung der Cisco Firewall-Befehlszeilenschnittstelle zur Messung der Effektivität von tACLs finden Sie im Cisco Security Whitepaper Identification of Security Exploits with Cisco ASA, Cisco ASASM, and Cisco FWSM Firewalls.
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable TCP ports ! access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 2020 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 2030 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list tACL-Policy extended deny tcp any 192.168.60.0 0.0.0.255 eq 2020 access-list tACL-Policy extended deny tcp any 192.168.60.0 0.0.0.255 eq 2030 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list tACL-Policy extended deny ip any 192.168.60.0 0.0.0.255 !
! ! !-- Apply tACL to interfaces in the ingress direction ! access-group tACL-Policy in interface outside
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.
-
Weniger anzeigenVersion Beschreibung Abschnitt Datum 1 Erstveröffentlichung 15. Januar 2014, 16:16 Uhr GMT
-
Vollständige Informationen zur Meldung von Sicherheitslücken in Cisco Produkten, zum Erhalt von Unterstützung bei Sicherheitsvorfällen und zur Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie auf der weltweiten Cisco Website unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dies beinhaltet Anweisungen für Presseanfragen bezüglich der Sicherheitshinweise von Cisco. Alle Cisco Sicherheitsankündigungen finden Sie unter http://www.cisco.com/go/psirt.
-
Die Sicherheitslücke betrifft die folgenden Produktkombinationen.
Primäre Produkte Cisco Cisco Secure Access Control System (ACS) 5,1 (Basis, 0,0,44) | 5.2 (Basis, 0.0.26, 0.0.26.1, 0.26.2, 0.26.3, 0.26.4, 0.0.26.5, 0.26.6, 0.0.26.7, 0.0.26.8, 0.0.26.9, 0.2 6,10, 0,026,11) | 5,3 (Basis, 0,0,6, 0,40, 0,40,1, 0,40,2, 0,40,3, 0,40,4, 0,40,5, 0,40,6, 0,40,7) | 5,4 (.0.46.0a, .0.46.1, .0.46.2, .0.46.3)
Zugehörige Produkte
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. CISCO BEHÄLT SICH DAS RECHT VOR, WARNUNGEN JEDERZEIT ZU ÄNDERN ODER ZU AKTUALISIEREN.
Eine eigenständige Kopie oder Umschreibung des Texts in diesem Dokument, die die Verteilungs-URL auslässt, ist eine unkontrollierte Kopie und enthält möglicherweise keine wichtigen Informationen oder sachliche Fehler. Die Informationen in diesem Dokument sind für Endbenutzer von Cisco Produkten bestimmt.