Antwort von Cisco

• Antwort von Cisco

  Dieses Applied Mitigation Bulletin ist ein Begleitdokument zu den PSIRT-Sicherheitsempfehlungen für Cisco IOS Software Session Initiation Protocol Denial of Service-Schwachstellen und bietet Identifizierungs- und Mitigationstechniken, die Administratoren auf Cisco Netzwerkgeräten einsetzen können.

Merkmale der Schwachstelle

• Wiederholte Versuche, diese Schwachstelle auszunutzen, können zu einem anhaltenden DoS-Zustand führen.
  
  Die Angriffsvektoren zur Ausnutzung bestehen aus IPv4- und IPv6-Paketen, die die folgenden Protokolle und Ports verwenden:

  • SIP über TCP-Port 5060
  • SIP über TCP-Port 5061
  • SIP mit UDP-Port 5060

  Ein Angreifer könnte diese Verwundbarkeit mit gefälschten Paketen ausnutzen.
  
  Dieser Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-ID CVE-2014-2106 zugewiesen.

Überblick über Sicherheitslücken

• Informationen zu anfälliger, nicht betroffener und fest installierter Software finden Sie in der Cisco Security Advisory, die unter folgendem Link verfügbar ist: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140326-sip.

Überblick über die Risikominderungstechnik

• Cisco Geräte bieten verschiedene Gegenmaßnahmen für diese Schwachstelle. Den Administratoren wird empfohlen, diese Schutzmethoden als allgemeine Best Practices für die Sicherheit von Infrastrukturgeräten und des Datenverkehrs im Netzwerk zu betrachten. Dieser Abschnitt des Dokuments bietet einen Überblick über diese Techniken.
  
  Die Cisco IOS Software bietet mithilfe der folgenden Methoden einen effektiven Schutz vor Exploits:

  • Transit-Zugriffskontrolllisten (tACLs)
  • Unicast Reverse Path Forwarding (Unicast-RPF)
  • IP Source Guard (IPSG)

  Diese Schutzmechanismen filtern und löschen Pakete, die versuchen, diese Schwachstelle auszunutzen, und überprüfen die Quell-IP-Adresse von.
  
  Die ordnungsgemäße Bereitstellung und Konfiguration von Unicast RPF bietet einen effektiven Schutz vor Angriffen, bei denen Pakete mit gefälschten Quell-IP-Adressen verwendet werden. Unicast-RPF sollte so nahe wie möglich an allen Datenverkehrsquellen bereitgestellt werden.
  
  Die ordnungsgemäße Bereitstellung und Konfiguration von IPSG bietet einen effektiven Schutz vor Spoofing-Angriffen auf der Zugriffsebene.
  
  Die Cisco Adaptive Security Appliance der Serie ASA 5500 und das Firewall Services Module (FWSM) für Cisco Catalyst 6500 sorgen zudem für einen effektiven Schutz vor Bedrohungen.

  • tACL
  • Unicast RPF

  Diese Schutzmechanismen filtern und löschen Pakete, die versuchen, diese Schwachstelle auszunutzen, und überprüfen die Quell-IP-Adresse von.
  
  Die effektive Nutzung von Cisco Intrusion Prevention System (IPS)-Ereignisaktionen bietet Transparenz und Schutz vor Angriffen, die diese Schwachstelle ausnutzen.
  
  Cisco IOS NetFlow-Datensätze bieten Transparenz für netzwerkbasierte Exploit-Versuche.
  
  Die Firewalls Cisco IOS Software, Cisco ASA und FWSM bieten Transparenz durch Syslog-Meldungen und Zählerwerte, die in der Ausgabe der show-Befehle angezeigt werden.

Risikomanagement

• Den Unternehmen wird empfohlen, die potenziellen Auswirkungen dieser Schwachstelle anhand ihrer Standardprozesse zur Risikobewertung und -minderung zu ermitteln. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.

Gerätespezifische Eindämmung und Identifizierung

• Vorsicht: Die Effektivität jeglicher Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und organisatorischem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.
  
  Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:

  • Cisco IOS-Router und -Switches
  • Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
  • Sourcefire Intrusion Prevention-System

  
  

  Cisco IOS-Router und -Switches

  Eindämmung: Transit-Zugriffskontrolllisten

  Um das Netzwerk vor Datenverkehr zu schützen, der am Eingangspunkt in das Netzwerk gelangt, z. B. Internetverbindungspunkte, Verbindungspunkte für Partner und Lieferanten oder VPN-Verbindungspunkte, sollten Administratoren Transit-Zugriffskontrolllisten (tACLs) bereitstellen, um die Richtlinien durchzusetzen. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor dieser Schwachstelle bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht. Die tACL-Richtlinie verweigert nicht autorisierte IPv4- und IPv6-Pakete auf und, die an betroffene Geräte gesendet werden. Im folgenden Beispiel steht 192.168.60.0/242001:DB8:1:60::/64 für den IP-Adressraum, der von den betroffenen Geräten verwendet wird. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird. Weitere Informationen zu tACLs finden Sie in Transit Access Control Lists: Filtering at Your Edge.

  ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports !
  ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks !
  ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic !
  access-list 150 deny ip any any
  !
  ! !-- Create the corresponding IPv6 tACL !
  ipv6  access-list IPv6-Transit-ACL-Policy
  ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports !
  ! !-- The following vulnerability-specific ACEs can !-- aid in identification of attacks to global and !-- link-local addresses !
  ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and configurations !-- and allow IPv6 neighbor discovery packets, which !-- include neighbor solicitation packets and neighbor !-- advertisement packets !
    permit icmp any any nd-ns
    permit icmp any any nd-na
  ! !-- Explicit deny for all other IPv6 traffic !
    deny ipv6 any any
  ! ! !-- Apply tACLs to interface in the ingress direction !
  interface GigabitEthernet0/0
   ip access-group 150 in 
   ipv6 traffic-filter IPv6-Transit-ACL-Policy in 

  Beachten Sie, dass das Filtern mit einer Schnittstellenzugriffsliste die Übertragung von nicht erreichbaren ICMP-Nachrichten zurück an die Quelle des gefilterten Datenverkehrs auslöst. Das Generieren dieser Nachrichten könnte den unerwünschten Effekt einer erhöhten CPU-Auslastung auf dem Gerät haben. In Cisco IOS-Software ist nicht-erreichbare Generation ICMP auf ein Paket alle 500 Millisekunden standardmäßig begrenzt. Die Erzeugung von nicht erreichbaren ICMP-Nachrichten kann mithilfe der Schnittstellenkonfigurationsbefehle no ip unreachables und no ipv6 unreachables deaktiviert werden. Die Durchsatzbegrenzung "ICMP unreachable" kann mithilfe der globalen Konfigurationsbefehle ip icmp rate-limit unreachable interval-in-ms und ipv6 icmp error-interval-interval-in-ms vom Standard geändert werden.

  Informationen zur Verwendung der Cisco IOS-Befehlszeilenschnittstelle zur Messung der Effektivität der tACL finden Sie im Whitepaper Cisco Security Intelligence Operations Identifying the Effectiveness of Security Mitigations Using Cisco IOS Software.

  Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls

  Eindämmung: Transit-Zugriffskontrolllisten

  Um das Netzwerk vor Datenverkehr zu schützen, der am Eingangspunkt in das Netzwerk gelangt, z. B. Internetverbindungspunkte, Verbindungspunkte für Partner und Lieferanten oder VPN-Verbindungspunkte, sollten Administratoren tACLs bereitstellen, um die Richtlinien durchzusetzen. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor dieser Schwachstelle bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.

  Die tACL-Richtlinie verweigert nicht autorisierte IPv4- und IPv6-Pakete an den TCP-Ports 5060 und 5061 sowie an den UDP-Port 5060, die an betroffene Geräte gesendet werden. Im folgenden Beispiel stellen 192.168.60.0/24 und 2001:DB8:1:60::/64 den IP-Adressraum dar, der von den betroffenen Geräten verwendet wird, und die Hosts unter 192.168.100.1 und 2001:DB8::100:1 gelten als vertrauenswürdige Quellen, die Zugriff auf die betroffenen Geräten. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird.

  Weitere Informationen zu tACLs finden Sie in Transit Access Control Lists: Filtering at Your Edge.

   ! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable TCP and UDP ports !
    access-list tACL-Policy extended permit tcp host 192.168.100.1 
       192.168.60.0 0.0.0.255 eq 5060
    access-list tACL-Policy extended permit tcp host 192.168.100.1 
       192.168.60.0 0.0.0.255 eq 5061
    access-list tACL-Policy extended permit udp host 192.168.100.1 
       192.168.60.0 0.0.0.255 eq 5060
   ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks !
    access-list tACL-Policy extended deny tcp any 192.168.60.0 0.0.0.255 eq 5060
    access-list tACL-Policy extended deny tcp any 192.168.60.0 0.0.0.255 eq 5061
    access-list tACL-Policy extended deny udp any 192.168.60.0 0.0.0.255 eq 5060
   ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic !
    access-list tACL-Policy extended deny ip any 192.168.60.0 0.0.0.255
   !
  ! !-- Create the corresponding IPv6 tACL !
   ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports !
    ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 
       2001:DB8:1:60::/64 eq 5060
    ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 
       2001:DB8:1:60::/64 eq 5061
    ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1 
       2001:DB8:1:60::/64 eq 5060
   ! !-- The following vulnerability-specific ACEs can !-- aid in identification of attacks !
    ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:DB8:1:60::/64 eq 5060
    ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:DB8:1:60::/64 eq 5061
    ipv6 access-list IPv6-tACL-Policy deny udp any 2001:DB8:1:60::/64 eq 5060
   ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and configurations !
   ! !-- Explicit deny for all other IPv6 traffic !
    ipv6 access-list IPv6-tACL-Policy deny ip any any
   ! ! !-- Apply tACLs to interfaces in the ingress direction !
    access-group tACL-Policy in interface outside
    access-group IPv6-tACL-Policy in interface outside

  Informationen zur Verwendung der Cisco Firewall-Befehlszeilenschnittstelle zur Messung der Effektivität von tACLs finden Sie im Whitepaper Cisco Security Intelligence Operations Identification of Security Exploits with Cisco ASA, Cisco ASASM, and Cisco FWSM Firewalls.

  Ab Version 9.0 der Cisco ASA Software unterstützen Zugriffskontrolllisten (d. h. einheitliche Zugriffskontrolllisten) IPv4- und IPv6-Adressen. Es kann eine Mischung aus IPv4- und IPv6-Adressen für die Quelle und das Ziel der ACL angegeben werden. Die Schlüsselwörter any4 und any6 wurden hinzugefügt, um reinen IPv4-Datenverkehr bzw. reinen IPv6-Datenverkehr darzustellen.

  Die IPv4- und IPv6-Zugriffslisteneinträge (ACEs) in den IPv4- und IPv6-ACLs dieses Abschnitts können auch in eine einheitliche ACL integriert werden.

  Weitere Informationen zu einheitlichen Zugriffskontrolllisten finden Sie im Abschnitt Hinzufügen einer erweiterten Zugriffsliste im Cisco ASA-Konfigurationsleitfaden.

  Signaturinformationen von Sourcefire

  Die folgenden Sourcefire Signaturen sind für die Denial-of-Service-Schwachstelle des Cisco IOS Software Session Initiation Protocol verfügbar.

  Beschreibung der Signatur	Anwendbare Regel
  DOS Cisco IOS SIP-Header Denial-of-Service-Versuch	1:30282
  DOS Cisco IOS SIP-Header Denial-of-Service-Versuch	1:30283

Zusätzliche Informationen

• Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.

Revisionsverlauf

• Version	Beschreibung	Abschnitt	Datum
  2	Die Signaturinformationen von Sourcefire IPS sind verfügbar.		27. März 2014, 17:14 Uhr GMT
  1	Cisco Applied Mitigation Bulletin (erste öffentliche Version)		26. März 2014, 17:12 Uhr GMT

  Weniger anzeigen

Cisco Sicherheitsverfahren

• Vollständige Informationen zur Meldung von Sicherheitslücken in Cisco Produkten, zum Erhalt von Unterstützung bei Sicherheitsvorfällen und zur Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie auf der weltweiten Cisco Website unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dies beinhaltet Anweisungen für Presseanfragen bezüglich der Sicherheitshinweise von Cisco. Alle Cisco Sicherheitsankündigungen finden Sie unter http://www.cisco.com/go/psirt.

Zugehörige Informationen

• • Cisco Applied Mitigation Bulletins
  • Cisco Security
  • Cisco Security IntelliShield Alert Manager Service
  • Cisco Leitfaden zum Absichern von Cisco IOS-Geräten
  • Cisco IOS NetFlow - Startseite auf Cisco.com
  • Cisco IOS NetFlow-Whitepaper
  • NetFlow-Leistungsanalyse
  • Cisco Network Foundation Protection - Whitepaper
  • Cisco Network Foundation Protection - Präsentationen
  • Ein sicherheitsorientierter Ansatz für die IP-Adressierung
  • Grundlegendes zum Schutz der Kontrollebene
  • Sichern der Tool Command Language auf Cisco IOS
  • Cisco Firewall-Produkte - Startseite auf Cisco.com
  • Cisco Catalyst ASA Services Module der Serie 6500
  • Verbesserungen der Unicast Reverse Path Forwarding für den Internet Service Provider
  • Cisco Intrusion Prevention System
  • Cisco IPS-Signatur-Downloads
  • Seite für die Suche nach Cisco IPS-Signaturen
  • Cisco Security Manager
  • Common Vulnerabilities and Exposures (CVE)
  • Cisco Applied Mitigation Bulletins abonnieren

Betroffene Produkte

• Die Sicherheitslücke betrifft die folgenden Produktkombinationen.
  
  

  Primäre Produkte
  Cisco	IOS	15,3 Mio. (15,3(3)M, 15,3(3)M1) | 15,3 S (15,3(3)S, 15,3(3)S1) | 15,3 XB (15,3(3)XB12)
  	Cisco IOS XE-Software	3,10 s (3,10,0 s, 3,10,1 s, 3,10,1 xbS)

  
  
  

  Zugehörige Produkte