Cisco Applied Mitigation Bulletin-
Il componente MX Mitsubishi contiene una vulnerabilità che potrebbe consentire a un utente malintenzionato remoto non autenticato di eseguire codice arbitrario su un sistema di destinazione.
La vulnerabilità è dovuta alla gestione impropria di alcune pagine Web da parte del software interessato. Un utente malintenzionato e non autenticato potrebbe sfruttare questa vulnerabilità persuadendo un utente a visitare una pagina Web dannosa. Una volta visitato, potrebbe consentire all'autore dell'attacco di eseguire codice arbitrario su un sistema di destinazione.
-
Per un'efficace prevenzione degli attacchi, è possibile usare Cisco ASA serie 5500 Adaptive Security Appliance, Cisco Catalyst serie 6500 ASA Services Module (ASASM) e Firewall Services Module (FWSM) per gli switch Cisco Catalyst serie 6500 e i router Cisco serie 7600 con l'ispezione del protocollo del livello applicazione.
Questo meccanismo di protezione filtra e scarta i pacchetti che stanno tentando di sfruttare la vulnerabilità.
L'appliance e il modulo Cisco ACE Application Control Engine possono fornire un'efficace prevenzione degli attacchi anche tramite l'ispezione del protocollo dell'applicazione.
Cisco ASA, Cisco ASASM, Cisco FWSM Firewall e Cisco ACE Application Control Engine Appliance e modulo possono fornire visibilità attraverso i messaggi syslog e i valori dei contatori visualizzati nell'output dei comandi show.
-
Le organizzazioni sono invitate a seguire i processi standard di valutazione e mitigazione dei rischi per determinare l'impatto potenziale di questa vulnerabilità. Triage si riferisce all'ordinamento dei progetti e all'assegnazione delle priorità agli sforzi che hanno maggiori probabilità di avere successo. Cisco ha fornito documenti che possono aiutare le organizzazioni a sviluppare una funzionalità di triage basata sui rischi per i team addetti alla sicurezza delle informazioni. Valutazione dei rischi per la vulnerabilità della sicurezza Gli annunci e la valutazione dei rischi e la creazione di prototipi possono aiutare le organizzazioni a sviluppare processi ripetibili di valutazione della sicurezza e di risposta.
-
Mitigazione e identificazione specifiche del dispositivo
Attenzione: l'efficacia di qualsiasi tecnica di mitigazione dipende dalle situazioni specifiche del cliente, come il mix di prodotti, la topologia di rete, il comportamento del traffico e la missione organizzativa. Come per qualsiasi modifica apportata alla configurazione, valutare l'impatto della configurazione prima di applicare la modifica.
Per questi dispositivi sono disponibili informazioni specifiche sulla mitigazione e l'identificazione:
Cisco ASA, Cisco ASASM e Cisco FWSM Firewall
Attenuazione: ispezione protocollo livello applicazione
L'ispezione del protocollo del livello applicazione è disponibile a partire dal software versione 7.2(1) per l'appliance Cisco ASA 5500 Series Adaptive Security, dalla versione 8.5 per il modulo servizi ASA Cisco Catalyst serie 6500 e dalla versione 4.0(1) per il modulo servizi Cisco Firewall. Questa funzionalità di sicurezza avanzata esegue l'ispezione approfondita del traffico che attraversa il firewall. Gli amministratori possono creare un criterio di ispezione per le applicazioni che richiedono una gestione speciale mediante la configurazione delle mappe delle classi di ispezione e delle mappe dei criteri di ispezione, che vengono applicate mediante un criterio globale o di servizio di interfaccia.
Per ulteriori informazioni sull'ispezione del protocollo del livello applicazione, consultare la sezione Configurazione dell'ispezione del protocollo del livello applicazione nella guida alla configurazione di Cisco ASA serie 5500 con CLI 8.2 e la sezione Configurazione dell'ispezione dell'applicazione nella guida alla configurazione della CLI del modulo dei servizi ASA Cisco Catalyst serie 6500, 8.5.
Attenzione: l'ispezione del protocollo a livello di applicazione diminuirà le prestazioni del firewall. Prima di implementare questa funzionalità negli ambienti di produzione, gli amministratori sono invitati a testare l'impatto sulle prestazioni in un ambiente lab.
Ispezione applicazione HTTP
Utilizzando il motore di ispezione HTTP su Cisco ASA serie 5500 Adaptive Security Appliance, Cisco serie 6500 ASA Services Module e Cisco Firewall Services Module, gli amministratori possono configurare le espressioni regolari (regex) per la corrispondenza dei pattern e costruire mappe delle classi di ispezione e mappe dei criteri di ispezione. Questi metodi possono contribuire a proteggere il sistema da vulnerabilità specifiche, ad esempio quella descritta in questo documento, e da altre minacce che possono essere associate al traffico HTTP. Nella configurazione di ispezione dell'applicazione HTTP seguente viene utilizzato Cisco Modular Policy Framework (MPF) per creare un criterio per l'ispezione del traffico sulle porte TCP 80, 3128, 8000, 8010, 8080, 8888 e 24326, che sono le porte predefinite per la variabile Cisco IPS #WEBPORTS. Il criterio di ispezione dell'applicazione HTTP eliminerà le connessioni in cui il corpo della risposta HTTP contiene uno dei regex configurati per corrispondere al controllo ActiveX associato a questa vulnerabilità.Attenzione: i regex configurati possono corrispondere a stringhe di testo in qualsiasi posizione nel corpo di una risposta HTML. È necessario assicurarsi che le applicazioni aziendali legittime che utilizzano stringhe di testo corrispondenti senza chiamare il controllo ActiveX non vengano influenzate. Per ulteriori informazioni sulla sintassi regex, vedere Creazione di un'espressione regolare.
Per ulteriori informazioni sugli exploit e le mitigazioni di ActiveX che sfruttano le tecnologie firewall di Cisco, consultare il white paper Preventing ActiveX Exploits with Cisco Firewall Application Layer Protocol Inspection Cisco Security.
! !-- Configure a regex for the ActiveX Class ID !-- "B5D4B42F-AD6E-11D3-BE97-0090FE014643" that is associated !-- with this vulnerability ! regex CLSID_activeX "[bB]5[dD]4[bB]42[fF][-][aA][dD]6[eE][-] 11[dD]3[-][bB][eE]97[-]0090[fF][eE]014643" ! !-- Configure a regex class to match on the regular !-- expressions that are configured above ! class-map type regex match-any vulnerable_activeX_class match regex CLSID_activeX ! !-- Configure an object group for the default ports that !-- are used by the Cisco IPS #WEBPORTS variable, which !-- are TCP ports 80 (www), 3128, 8000, 8010, 8080, 8888, !-- and 24326 ! object-group service WEBPORTS tcp port-object eq www port-object eq 3128 port-object eq 8000 port-object eq 8010 port-object eq 8080 port-object eq 8888 port-object eq 24326 ! !-- Configure an access list that uses the WEBPORTS object !-- group, which will be used to match TCP packets that !-- are destined to the #WEBPORTS variable that is used !-- by a Cisco IPS device ! access-list Webports_ACL extended permit tcp any any object-group WEBPORTS ! !-- Configure a class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable ! class-map Webports_Class match access-list Webports_ACL ! !-- Configure an HTTP application inspection policy that !-- identifies, drops, and logs connections that contain !-- the regex that is configured above ! policy-map type inspect http http_policy parameters ! !-- "body-match-maximum" indicates the maximum number of !-- characters in the body of an HTTP message that !-- should be searched in a body match. The default value is !-- 200 bytes. A large number such as shown here may have an !-- impact on system performance. Administrators are advised !-- to test performance impact in a lab environment before !-- this command is deployed in production environments ! body-match-maximum 1380 match response body regex class vulnerable_activeX_class drop-connection log ! !-- Add the above-configured "Webports_Class" that matches !-- TCP packets that are destined to the default ports !-- that are used by the Cisco IPS #WEBPORTS variable to !-- the default policy "global_policy" and use it to !-- inspect HTTP traffic that transits the firewall ! policy-map global_policy class Webports_Class inspect http http_policy ! !-- By default, the policy "global_policy" is applied !-- globally, which results in the inspection of !-- traffic that enters the firewall from all interfaces ! service-policy global_policy global
Per ulteriori informazioni sulla configurazione e l'uso dei gruppi di oggetti, fare riferimento alla guida alla configurazione di Cisco ASA serie 5500 dall'indirizzo CLI, 8.2 per la configurazione dei gruppi di oggetti e alla sezione Configurazione di oggetti ed elenchi di accesso della guida alla configurazione della CLI del modulo di servizi ASA Cisco Catalyst serie 6500, 8.5.
Per ulteriori informazioni sull'ispezione delle applicazioni HTTP e sul modulo MPF, consultare la sezione HTTP Inspection Overview della guida alla configurazione di Cisco ASA serie 5500 dalla CLI, versione 8.2.
Identificazione: Ispezione protocollo livello applicazione
Il messaggio syslog del firewall 415007 verrà generato quando il corpo di un messaggio HTTP corrisponde a un'espressione regolare definita dall'utente. Il messaggio syslog identificherà la classe HTTP e il criterio HTTP corrispondenti e indicherà l'azione applicata alla connessione HTTP. Per ulteriori informazioni sul messaggio syslog, consultare il messaggio Cisco ASA serie 5500 System Log, 8.2 - 415007.
Le informazioni sulla configurazione del syslog per Cisco ASA serie 5500 Adaptive Security Appliance sono disponibili in Monitoraggio - configurazione della registrazione. Per informazioni sulla configurazione del syslog per Cisco Catalyst serie 6500 ASA Services Module, consultare il documento sulla configurazione della registrazione. Per informazioni sulla configurazione del syslog sul modulo FWSM per gli switch Cisco Catalyst serie 6500 e i router Cisco serie 7600, consultare il documento sul monitoraggio del modulo Firewall Services.
Nell'esempio seguente, il comando show logging | il comando grep regex estrae i messaggi syslog dal buffer di registrazione sul firewall. Questi messaggi forniscono ulteriori informazioni sui pacchetti negati che potrebbero indicare tentativi di sfruttare questa vulnerabilità. Gli amministratori possono utilizzare espressioni regolari diverse con la parola chiave grep per cercare dati specifici nei messaggi registrati.
Per ulteriori informazioni sulla sintassi delle espressioni regolari, vedere Creazione di un'espressione regolare.
Ispezione applicazione HTTP
firewall# show logging | 415007 grep
Apr 3 2013 14:35:54: %ASA-5-415007: HTTP - matched Class 22: vulnerable_activeX_class in policy-map http_policy, Body matched - Dropping connection from inside:192.168.60.85/2130 to outside:192.0.2.63/80 Apr 3 2013 14:35:55: %ASA-5-415007: HTTP - matched Class 20: vulnerable_activeX_class in policy-map http_policy, Body matched - Dropping connection from inside:192.168.60.86/2133 to outside:192.0.2.63/80 Apr 3 2013 14:36:03: %ASA-5-415007: HTTP - matched Class 24: vulnerable_activeX_class in policy-map http_policy, Body matched - Dropping connection from inside:192.168.60.87/2129 to outside:192.0.2.63/80Se l'ispezione dell'applicazione HTTP è abilitata, il comando show service-policy inspect protocol identificherà il numero di pacchetti HTTP ispezionati e scartati da questa funzionalità. Nell'esempio seguente viene illustrato l'output per il comando show service-policy inspect http:
firewall# show service-policy inspect http Global policy: Service-policy: global_policy Class-map: inspection_default Class-map: Webports_Class Inspect: http http_policy, packet 5025, drop 20, reset-drop 0 protocol violations packet 0 match response body regex class vulnerable_activeX_class drop-connection log, packet 20Nell'esempio precedente, sono stati controllati 5025 pacchetti HTTP e 20 pacchetti HTTP sono stati scartati.
Cisco ACE
Attenuazione: ispezione del protocollo dell'applicazione
L'ispezione del protocollo dell'applicazione è disponibile per Cisco ACE Application Control Engine Appliance e modulo. Questa funzionalità di sicurezza avanzata esegue l'ispezione approfondita dei pacchetti del traffico che attraversa il dispositivo Cisco ACE. Gli amministratori possono creare un criterio di ispezione per le applicazioni che richiedono una gestione speciale tramite la configurazione delle mappe delle classi di ispezione e delle mappe dei criteri di ispezione, che vengono applicate tramite un criterio globale o di servizio di interfaccia.
Per ulteriori informazioni sull'ispezione del protocollo dell'applicazione, consultare la sezione Configurazione dell'ispezione del protocollo dell'applicazione nella Guida alla configurazione della sicurezza dell'appliance Cisco ACE serie 4700.
Ispezione approfondita pacchetti HTTP
Per eseguire l'ispezione approfondita dei pacchetti HTTP per questa vulnerabilità, gli amministratori possono configurare le espressioni regolari (regex) per la corrispondenza dei pattern e costruire mappe di classi di ispezione e mappe di criteri di ispezione. Questi metodi possono contribuire a proteggere il sistema da vulnerabilità specifiche, ad esempio quella descritta in questo documento, e da altre minacce che possono essere associate al traffico HTTP. La seguente configurazione di ispezione del protocollo applicativo HTTP controlla il traffico sulle porte TCP 80, 3128, 8000, 8010, 8080, 8888 e 24326, che sono le porte predefinite per la variabile Cisco IPS #WEBPORTS. Il criterio di ispezione del protocollo dell'applicazione HTTP eliminerà le connessioni in cui il contenuto HTTP contiene uno dei regex configurati per corrispondere al controllo ActiveX associato a questa vulnerabilità.
Attenzione: i regex configurati possono corrispondere a stringhe di testo in qualsiasi posizione nel contenuto di un pacchetto HTML. È necessario assicurarsi che le applicazioni aziendali legittime che utilizzano stringhe di testo corrispondenti senza chiamare il controllo ActiveX non vengano influenzate.
Per ulteriori informazioni sugli exploit e le mitigazioni di ActiveX che sfruttano l'appliance e il modulo Cisco ACE Application Control Engine, consultare il white paper Preventing ActiveX Exploits with Cisco Application Control Engine Application Layer Protocol Inspection di Cisco Security.
! !-- Configure an HTTP application inspection class that !-- looks for HTTP packets that contain the regex for the !-- ActiveX Class ID !-- "5EFE8CB1-D095-11D1-88FC-0080C859833B" !-- that is associated with this vulnerability ! class-map type http inspect match-any vulnerable_activeX_http_class match content ".*[bB]5[dD]4[bB]42[fF][-][aA][dD]6[eE][-] 11[dD]3[-][bB][eE]97[-]0090[fF][eE]014643.*" ! !-- Configure an HTTP application inspection policy that !-- identifies, resets, and logs connections that contain !-- the regex that are configured above ! policy-map type inspect http all-match http_policy class vulnerable_activeX_http_class reset log ! !-- Configure an access list that matches TCP packets !-- that are destined to the #WEBPORTS variable that is !-- used by a Cisco IPS device ! access-list WEBPORTS line 8 extended permit tcp any any eq www access-list WEBPORTS line 16 extended permit tcp any any eq 3128 access-list WEBPORTS line 24 extended permit tcp any any eq 8000 access-list WEBPORTS line 32 extended permit tcp any any eq 8010 access-list WEBPORTS line 40 extended permit tcp any any eq 8080 access-list WEBPORTS line 48 extended permit tcp any any eq 8888 access-list WEBPORTS line 56 extended permit tcp any any eq 24326 ! !-- Configure a Layer 4 class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable ! class-map match-all L4_http_class match access-list WEBPORTS ! !-- Configure a Layer 4 policy that applies the HTTP application !-- inspection policy configured above to TCP packets that !-- are destined to the ports that are used by the Cisco IPS !-- #WEBPORTS variable ! policy-map multi-match L4_http_inspect_policy class L4_http_class inspect http policy http_policy ! !-- Apply the configuration globally across all interfaces, !-- which results in the inspection of all traffic that enters !-- the ACE ! service-policy input L4_http_inspect_policy
Identificazione: Application Protocol Inspection
Ispezione approfondita pacchetti HTTP
Il messaggio syslog Cisco ACE Application Control Engine 415006 verrà generato quando l'URI corrisponde a un'espressione regolare definita dall'utente. Il messaggio syslog identificherà la classe HTTP e il criterio HTTP corrispondenti e indicherà l'azione applicata alla connessione HTTP. Per ulteriori informazioni sul messaggio syslog, consultare la guida ai messaggi del sistema appliance Cisco ACE serie 4700 - Messaggio di sistema 415006.
Il messaggio syslog Cisco ACE Application Control Engine 415007 verrà generato quando il corpo di un messaggio HTTP corrisponde a un'espressione regolare definita dall'utente. Il messaggio syslog identificherà la classe HTTP e il criterio HTTP corrispondenti e indicherà l'azione applicata alla connessione HTTP. Per ulteriori informazioni sul messaggio syslog, consultare la guida ai messaggi del sistema appliance Cisco ACE serie 4700 - Messaggio di sistema 415007.
ACE/Admin# show logging | include 415007 Apr 3 2013 15:26:43: %ACE-5-415007: HTTP - matched vulnerable_activeX_http_class in policy-map L4_http_inspect_policy, Body matched - Resetting connection from vlan206:192.0.2.94/80 to vlan130:192.168.60.63/1776 Connection 0x3a Apr 3 2013 15:30:33: %ACE-5-415007: HTTP - matched vulnerable_activeX_http_class in policy-map L4_http_inspect_policy, Body matched - Resetting connection from vlan206:192.0.2.94/80 to vlan130:192.168.60.63/1778 Connection 0x3cQuando è abilitata l'ispezione approfondita dei pacchetti HTTP, il comando show service-policy policynamedetail identifica il numero di connessioni HTTP ispezionate ed eliminate da questa funzionalità. Nell'esempio seguente viene illustrato l'output per il dettaglio show service-policy L4_http_inspect_policy:
ACE/Admin# show service-policy L4_http_inspect_policy detail Status : ACTIVE
Description: -----------------------------------------
Context Global Policy: service-policy: L4_http_inspect_policy class: L4_http_class inspect http: L7 inspect policy : http_policy Url Logging: DISABLED curr conns : 0 , hit count : 1 dropped conns : 0 client pkt count : 3 , client byte count: 589 server pkt count : 3 , server byte count: 547 conn-rate-limit : 0 , drop-count : 0 bandwidth-rate-limit : 0 , drop-count : 0 L4 policy stats: Total Req/Resp: 4 , Total Allowed: 2 Total Dropped : 2 , Total Logged : 0 class/match : vulnerable_activeX_http_class Inspect action : reset log Total Inspected : 2 , Total Matched: 2 Total Dropped OnError: 0Nell'esempio precedente, sono state esaminate 4 connessioni HTTP e 2 connessioni HTTP sono state eliminate.
Per ulteriori informazioni su HTTP Deep Packet Inspection e Application Protocol Inspection, consultare la sezione Configurazione dell'ispezione del protocollo applicativo in Cisco ACE 4700 Series Appliance Security Configuration Guide.
-
IL PRESENTE DOCUMENTO VIENE FORNITO "COSÌ COM'È" E NON IMPLICA ALCUNA GARANZIA O CONCESSIONE, INCLUSE LE GARANZIA DI COMMERCIABILITÀ O IDONEITÀ PER UNO SCOPO SPECIFICO. L'UTILIZZO DA PARTE DELL'UTENTE DELLE INFORMAZIONI CONTENUTE NEL DOCUMENTO O NEI MATERIALI ACCESSIBILI DAL DOCUMENTO AVVIENE A PROPRIO RISCHIO. CISCO SI RISERVA IL DIRITTO DI MODIFICARE O AGGIORNARE IL PRESENTE DOCUMENTO IN QUALSIASI MOMENTO.
-
Mostra menoVersion Descrizione Sezione Data 1 Release iniziale 2013-aprile-04 16:02 GMT
-
Le informazioni complete sulla segnalazione delle vulnerabilità della sicurezza nei prodotti Cisco, su come ottenere assistenza in caso di incidenti relativi alla sicurezza e su come registrarsi per ricevere informazioni sulla sicurezza da Cisco, sono disponibili sul sito Web di Cisco all'indirizzo https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Ciò include istruzioni per le richieste della stampa relative agli avvisi di sicurezza Cisco. Tutti gli avvisi sulla sicurezza Cisco sono disponibili all'indirizzo http://www.cisco.com/go/psirt.
-
La vulnerabilità della sicurezza si applica alle seguenti combinazioni di prodotti.
Prodotti principali IntelliShield Bollettino sulla mitigazione applicata Versione originale (base)
Prodotti associati
-
IL PRESENTE DOCUMENTO VIENE FORNITO "COSÌ COM'È" E NON IMPLICA ALCUNA GARANZIA O CONCESSIONE, INCLUSE LE GARANZIA DI COMMERCIABILITÀ O IDONEITÀ PER UNO SCOPO SPECIFICO. L'UTILIZZO DA PARTE DELL'UTENTE DELLE INFORMAZIONI CONTENUTE NEL DOCUMENTO O NEI MATERIALI ACCESSIBILI DAL DOCUMENTO AVVIENE A PROPRIO RISCHIO. CISCO SI RISERVA IL DIRITTO DI MODIFICARE O AGGIORNARE GLI AVVISI IN QUALSIASI MOMENTO.
Una copia standalone o una parafrasi del testo di questo documento che omette l'URL di distribuzione è una copia non controllata e può non contenere informazioni importanti o contenere errori materiali. Le informazioni di questo documento sono destinate agli utenti finali dei prodotti Cisco