Cisco Applied Mitigation Bulletin-
Dieses Applied Mitigation Bulletin ist ein Begleitdokument zu den PSIRT Security Advisory Cisco IOS Software Common Industrial Protocol Vulnerabilities und bietet Identifizierungs- und Eindämmungstechniken, die Administratoren auf Cisco Netzwerkgeräten bereitstellen können.
In diesem Dokument werden Identifizierungs- und Eindämmungstechniken vorgestellt, die Administratoren auf Cisco Netzwerkgeräten implementieren können. Die in diesem Dokument beschriebenen Techniken gelten nur für die Denial-of-Service-Schwachstelle der Cisco IOS-Software UDP CIP.
-
Die Cisco IOS Software weist eine Schwachstelle auf, wenn sie CIP-Pakete (Common Industrial Protocol) der Version 4 (IPv4) verarbeitet. Diese Schwachstelle kann ohne Authentifizierung und ohne Benutzereingriffe per Remote-Zugriff ausgenutzt werden. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann dies zu einer Diensteverweigerung (Denial of Service, DoS) führen. Der Angriffsvektor zur Ausnutzung besteht aus IPv4-Paketen, die die UDP-Ports 222 oder 44818 verwenden. Ein Angreifer könnte diese Verwundbarkeit mit gefälschten Paketen ausnutzen.
Dieser Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-ID CVE-2015-0647 zugewiesen.
-
Informationen zu anfälliger, nicht betroffener und fest installierter Software finden Sie in der Cisco Security Advisory, die unter folgendem Link verfügbar ist: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150325-cip.
-
Cisco Geräte bieten verschiedene Gegenmaßnahmen für diese Schwachstelle. Den Administratoren wird empfohlen, diese Schutzmethoden als allgemeine Best Practices für die Sicherheit von Infrastrukturgeräten und des Datenverkehrs im Netzwerk zu betrachten. Dieser Abschnitt des Dokuments bietet einen Überblick über diese Techniken.
Die Cisco IOS Software bietet mithilfe der folgenden Methoden einen effektiven Schutz vor Exploits:
- InfrastrukturZugriffskontrolllisten (iACLs)
- Unicast Reverse Path Forwarding (URPF)
- IP Source Guard (IPSG)
Diese Schutzmechanismen filtern und löschen Pakete, die versuchen, diese Schwachstelle auszunutzen, und überprüfen die Quell-IP-Adresse von.
Die ordnungsgemäße Bereitstellung und Konfiguration von uRPF bietet einen effektiven Schutz vor Angriffen, die Pakete mit gefälschten Quell-IP-Adressen verwenden. uRPF sollte so nahe wie möglich an allen Datenverkehrsquellen bereitgestellt werden.
Die ordnungsgemäße Bereitstellung und Konfiguration von IPSG bietet einen effektiven Schutz vor Spoofing-Angriffen auf der Zugriffsebene.
Die Cisco Adaptive Security Appliances der Serien ASA 5500 und 5500-X, das Cisco Catalyst ASA Services Module (ASASM) der Serie 6500 und das Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 bieten folgende effektive Möglichkeiten zur Vermeidung von Exploits:
- Transit-Zugriffskontrolllisten (tACLs)
- uRPF
Diese Schutzmechanismen filtern und löschen Pakete, die versuchen, diese Schwachstelle auszunutzen, und überprüfen die Quell-IP-Adresse von.
Die Datensätze von Cisco IOS NetFlow und Flexible NetFlow bieten Transparenz für netzwerkbasierte Exploit-Versuche.
Die effektive Nutzung von Cisco Intrusion Prevention System (IPS)-Ereignisaktionen bietet Transparenz und Schutz vor Angriffen, die diese Schwachstelle ausnutzen.
-
Den Unternehmen wird empfohlen, die potenziellen Auswirkungen dieser Schwachstelle anhand ihrer Standardprozesse zur Risikobewertung und -minderung zu ermitteln. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.
-
Vorsicht: Die Effektivität jeglicher Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und organisatorischem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.
Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:
- Cisco IOS-Router und -Switches
- Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
- Cisco Intrusion Prevention System
Cisco IOS-Router und -Switches
Eindämmung: Infrastruktur-Zugriffskontrolllisten
Um Infrastrukturgeräte zu schützen und das Risiko, die Auswirkungen und die Effektivität direkter Angriffe auf die Infrastruktur zu minimieren, sollten Administratoren iACLs implementieren, um den an Infrastrukturgeräte gesendeten Datenverkehr durchzusetzen. Administratoren können eine iACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen an die Geräte der Infrastruktur gesendet wird. Um einen maximalen Schutz für Infrastrukturgeräte zu gewährleisten, sollten bereitgestellte iACLs in Eingangsrichtung auf alle Schnittstellen angewendet werden, für die eine IP-Adresse konfiguriert wurde. Eine iACL-Problemumgehung kann keinen vollständigen Schutz vor dieser Schwachstelle bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.
Die iACL-Richtlinie verweigert nicht autorisierte IPv4-Pakete auf den UDP-Ports 2222 und 44818, die an betroffene Geräte gesendet werden. Im folgenden Beispiel stellt 192.168.60.0/24 den IP-Adressraum dar, der von den betroffenen Geräten und den Hosts unter 192.168.100.1 verwendet wird und als vertrauenswürdige Quellen gilt, die Zugriff auf die betroffenen Geräte erfordern. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird. Wenn möglich, sollte sich der Infrastruktur-Adressraum vom Adressraum unterscheiden, der für Benutzer- und Service-Segmente verwendet wird. Mit dieser Adressierungsmethode können Sie iACLs erstellen und bereitstellen.
Weitere Informationen zu iACLs finden Sie unter Protecting Your Core: Infrastructure Protection Access Control Lists.
ip access-list extended Infrastructure-ACL-Policy
! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable UDP ports ! permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 2222 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 44818 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! deny udp any 192.168.60.0 0.0.0.255 eq 2222 deny udp any 192.168.60.0 0.0.0.255 eq 44818 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! deny ip any 192.168.60.0 0.0.0.255 ! ! ! !-- Apply tACL to interface in the ingress direction ! interface GigabitEthernet0/0 ip access-group Infrastructure-ACL-Policy inBeachten Sie, dass das Filtern mit einer Schnittstellenzugriffsliste die Übertragung von nicht erreichbaren ICMP-Nachrichten zurück an die Quelle des gefilterten Datenverkehrs auslöst. Das Generieren dieser Nachrichten könnte den unerwünschten Effekt einer erhöhten CPU-Auslastung auf dem Gerät haben. In Cisco IOS-Software ist nicht-erreichbare Generation ICMP auf ein Paket alle 500 Millisekunden standardmäßig begrenzt. Die Erzeugung von nicht erreichbaren ICMP-Nachrichten kann mit dem Schnittstellenkonfigurationsbefehl no ip unreachables deaktiviert werden. Die Durchsatzbegrenzung "ICMP unreachable" kann mithilfe des globalen Konfigurationsbefehls ip icmp rate-limit unreachable interval-in-ms vom Standardwert geändert werden.
Informationen zur Verwendung der Cisco IOS Software-Befehlszeilenschnittstelle zur Messung der Effektivität der iACL finden Sie im Whitepaper Cisco Security Intelligence Operations Identifying the Effectiveness of Security Mitigations Using Cisco IOS Software.
Eindämmung: Spoofing-Schutz
Unicast Reverse Path Forwarding
Die in diesem Dokument beschriebene Schwachstelle kann durch gefälschte IP-Pakete ausgenutzt werden. Administratoren können Unicast Reverse Path Forwarding (uRPF) als Schutzmechanismus gegen Spoofing bereitstellen und konfigurieren.
uRPF wird auf Schnittstellenebene konfiguriert und kann Pakete erkennen und verwerfen, denen eine verifizierbare Quell-IP-Adresse fehlt. Administratoren sollten sich nicht darauf verlassen, dass uRPF einen vollständigen Spoofing-Schutz bietet, da gefälschte Pakete über eine uRPF-fähige Schnittstelle in das Netzwerk gelangen können, wenn eine entsprechende Rückgaberoute zur Quell-IP-Adresse vorhanden ist. Den Administratoren wird empfohlen, während der Bereitstellung dieser Funktion sicherzustellen, dass der geeignete uRPF-Modus (flexibel oder strikt) konfiguriert wird, da legitimer Datenverkehr, der das Netzwerk durchquert, verworfen werden kann. In einer Unternehmensumgebung kann uRPF am Internet-Edge und auf der internen Zugriffsebene an den benutzerunterstützenden Layer-3-Schnittstellen aktiviert werden.
Weitere Informationen zur Konfiguration und Verwendung von uRPF finden Sie im Whitepaper Understanding Unicast Reverse Path Forwarding Cisco Security Intelligence Operations.
IP-Quellschutz
IP Source Guard (IPSG) ist eine Sicherheitsfunktion, die den IP-Datenverkehr an nicht gerouteten Layer-2-Schnittstellen beschränkt, indem Pakete auf Basis der DHCP-Snooping-Bindungsdatenbank und manuell konfigurierter IP-Source-Bindings gefiltert werden. Administratoren können IPSG verwenden, um Angriffe eines Angreifers zu verhindern, der versucht, Pakete durch Fälschung der Quell-IP-Adresse und/oder der MAC-Adresse zu fälschen. Bei ordnungsgemäßer Bereitstellung und Konfiguration bietet IPSG in Verbindung mit dem strengen Modus "uRPF" den effektivsten Spoofing-Schutz für die in diesem Dokument beschriebene Schwachstelle.
Weitere Informationen zur Bereitstellung und Konfiguration von IPSG finden Sie unter Konfigurieren der DHCP-Funktionen und von IP Source Guard.
Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
Eindämmung: Transit-Zugriffskontrolllisten
Um das Netzwerk vor Datenverkehr zu schützen, der am Eingangspunkt in das Netzwerk gelangt, z. B. Internetverbindungspunkte, Verbindungspunkte für Partner und Lieferanten oder VPN-Verbindungspunkte, sollten Administratoren tACLs bereitstellen, um die Richtlinien durchzusetzen. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor dieser Schwachstelle bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.
Die tACL-Richtlinie verweigert nicht autorisierte IPv4-Pakete auf den UDP-Ports 2222 und 44818, die an betroffene Geräte gesendet werden. Im folgenden Beispiel stellt 192.168.60.0/24 den IP-Adressraum dar, der von den betroffenen Geräten verwendet wird, und die Hosts unter 192.168.100.1 gelten als vertrauenswürdige Quellen, die Zugriff auf die betroffenen Geräte benötigen. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird.
Weitere Informationen zu tACLs finden Sie unter Transit Access Control Lists: Filtering at Your Edge.
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable UDP ports ! access-list tACL-Policy extended permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 2222 access-list tACL-Policy extended permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 44818 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 eq 2222 access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 eq 44818 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list tACL-Policy extended deny ip any 192.168.60.0 255.255.255.0 ! ! ! !-- Apply tACL to interfaces in the ingress direction ! access-group tACL-Policy in interface outside
Informationen zur Verwendung der Cisco Firewall-Befehlszeilenschnittstelle zur Messung der Effektivität von tACLs finden Sie im Whitepaper Cisco Security Intelligence Operations Identification of Security Exploits with Cisco ASA, Cisco ASASM, and Cisco FWSM Firewalls.
Eindämmung: Spoofing-Schutz mit Unicast Reverse Path Forwarding
Die in diesem Dokument beschriebene Schwachstelle kann durch gefälschte IP-Pakete ausgenutzt werden. Administratoren können uRPF als Spoofing-Schutzmechanismus bereitstellen und konfigurieren.
uRPF wird auf Schnittstellenebene konfiguriert und kann Pakete erkennen und verwerfen, denen eine verifizierbare Quell-IP-Adresse fehlt. Administratoren sollten sich nicht darauf verlassen, dass uRPF einen vollständigen Spoofing-Schutz bietet, da gefälschte Pakete über eine uRPF-fähige Schnittstelle in das Netzwerk gelangen können, wenn eine entsprechende Rückgaberoute zur Quell-IP-Adresse vorhanden ist. In einer Unternehmensumgebung kann uRPF am Internet-Edge und auf der internen Zugriffsebene der benutzerunterstützenden Layer-3-Schnittstellen aktiviert werden.
Weitere Informationen zur Konfiguration und Verwendung von uRPF finden Sie in der Cisco Security Appliance Command Reference for ip verify reverse path und im Cisco Security Whitepaper Understanding Unicast Reverse Path Forwarding.
Informationen zur Verwendung der Firewall-Kommandozeilenschnittstelle zur Messung der Effektivität des Spoofing-Schutzes finden Sie im Cisco Security Whitepaper Identification of Security Exploits with Cisco ASA, Cisco ASASM, and Cisco FWSM Firewalls.
Cisco Intrusion Prevention System
Risikominderung: Cisco IPS-Signaturtabelle
Administratoren können die Cisco IPS-Appliances und -Servicemodule verwenden, um Bedrohungen zu erkennen und Versuche zur Ausnutzung der in diesem Dokument beschriebenen Schwachstellen zu verhindern. Die folgende Tabelle bietet einen Überblick über CVE-IDs und die jeweiligen Cisco IPS-Signaturen, die Ereignisse auslösen, wenn diese Schwachstelle ausgenutzt werden soll.
CVE-ID Signaturfreigabe Signature-ID Signaturname Aktiviert Schweregrad Genauigkeit* CVE-2015-0647 S858 5032-0 Cisco IOS Software Common Industrial Protocol - Denial-of-Service Ja Hoch 85 * Fidelity wird auch als Signature Fidelity Rating (SFR) bezeichnet und ist das relative Maß für die Genauigkeit der Signatur (vordefiniert). Der Wert reicht von 0 bis 100 und wird von Cisco Systems, Inc. festgelegt.
Administratoren können Cisco IPS-Sensoren so konfigurieren, dass sie eine Ereignisaktion ausführen, wenn ein Angriff erkannt wird. Die konfigurierte Ereignisaktion führt eine präventive oder abschreckende Kontrolle durch, um den Schutz vor einem Angriff zu gewährleisten, der versucht, die in der vorherigen Tabelle aufgelistete Schwachstelle auszunutzen.
Exploits, die gefälschte IP-Adressen verwenden, können dazu führen, dass eine konfigurierte Ereignisaktion versehentlich den Datenverkehr von vertrauenswürdigen Quellen blockiert.
Cisco IPS-Sensoren sind am effektivsten, wenn sie im Inline-Schutzmodus in Verbindung mit einer Ereignisaktion bereitgestellt werden. Der automatische Schutz vor Bedrohungen für Cisco IPS 7.x- und 6.x-Sensoren, die im Inline-Schutzmodus bereitgestellt werden, bietet Schutz vor Bedrohungen bei einem Angriff, der versucht, die in diesem Dokument beschriebene Schwachstelle auszunutzen. Der Schutz vor Bedrohungen wird durch eine Standardüberschreibung erreicht, die eine Ereignisaktion für ausgelöste Signaturen mit einem riskRatingValue größer als 90 ausführt.
Weitere Informationen zur Berechnung von Risikoeinstufung und Bedrohungseinstufung finden Sie unter Risikoeinstufung und Bedrohungseinstufung: Vereinfachtes IPS-Richtlinienmanagement.
Informationen zur Verwendung von Cisco Security Manager zum Anzeigen der Aktivität von einem Cisco IPS-Sensor finden Sie im Whitepaper Identification of Malicious Traffic Using Cisco Security Manager.
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.
-
Weniger anzeigenVersion Beschreibung Abschnitt Datum 1 Erstveröffentlichung 25. März 2015, 16:01 Uhr GMT
-
Vollständige Informationen zur Meldung von Sicherheitslücken in Cisco Produkten, zum Erhalt von Unterstützung bei Sicherheitsvorfällen und zur Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie auf der weltweiten Cisco Website unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dies beinhaltet Anweisungen für Presseanfragen bezüglich der Sicherheitshinweise von Cisco. Alle Cisco Sicherheitsankündigungen finden Sie unter http://www.cisco.com/go/psirt.
-
Die Sicherheitslücke betrifft die folgenden Produktkombinationen.
Primäre Produkte Cisco IOS 12,2 EX (12,2(44)EX, 12,2(44)EX1) | 12,2 IRD (12,2(33)IRD1) | 12,2 IRE (12,2(33)IRE3) | 12.2SE (12.2(46)SE, 12.2(46)SE1, 12.2(46)SE2, 12.2(50)SE, 12.2(50)SE1, 12.2(50)SE2, 12.2(50)SE3, 12 1,2 (50)SE4, 12,2 (50)SE5, 12,2 (52)SE, 12,2 (52)SE1, 12,2 (55)SE, 12,2 (55)SE3, 12,2 (55)SE4, 12,2 (55)SE5, 1 2,2(55)SE6, 12,2(55)SE7, 12,2(55)SE8, 12,2(55)SE9, 12,2(58)SE2) | 12,2 SQ (12,2(44)SQ1) | 12.2SXI (12.2(33)SXI4b) | 12,4 (12,4(25e)JAM1) | 12,4 JAP (12,4(25e)JAP1m) | 12,4 JAZ (12,4(25e)JAZ1) | 15,0 EB (15,0(2)EB) | 15,0ED (15,0(2)ED1) | 15,0EY (15,0(1)EY, 15,0(1)EY1, 15,0(1)EY2, 15,0(2)EY, 15,0(2)EY1, 15,0(2)EY2, 15,0(2)EY3) | 15,0SE (15,0(2)SE, 15,0(2)SE1, 15,0(2)SE10, 15,0(2)SE2, 15,0(2)SE3, 15,0(2)SE4, 15,0(2)SE5, 15,0(2)SE6, 1 5.0(2)SE7, 15.0(2a)SE6) | 15,2E (15,2(2)E, 15,2(2)E1, 15,2(2b)E) | 15,2EY (15,2(1)EY, 15,2(1)EY1, 15,2(1)EY2) | 15,2 JAZ (15,2(4)JAZ) | 15,2 JB (15,2(2)JB1) | 15.3JA (15.3(3)JA, 15.3(3)JA1, 15.3(3)JA1m, 15.3(3)JA1n, 15.3(3)JA100, 15.3(3)JA2, 15.3(3)JA77 5) | 15,3 JAA (15,3(3)JAA) | 15.3JAB (15.3(3)JAB, 15.3(3)JAB1) | 15,3 JN (15,3(3)JN) | 15.3 JNB (15.3(3)JNB) | 15,3 S (15,3(2)S2)
Zugehörige Produkte
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. CISCO BEHÄLT SICH DAS RECHT VOR, WARNUNGEN JEDERZEIT ZU ÄNDERN ODER ZU AKTUALISIEREN.
Eine eigenständige Kopie oder Umschreibung des Texts in diesem Dokument, die die Verteilungs-URL auslässt, ist eine unkontrollierte Kopie und enthält möglicherweise keine wichtigen Informationen oder sachliche Fehler. Die Informationen in diesem Dokument sind für Endbenutzer von Cisco Produkten bestimmt.