Cisco Applied Mitigation Bulletin-
Questo bollettino sulla mitigazione applicata è un documento complementare al PSIRT Security Advisory Multiple Vulnerabilities in Cisco Secure Access Control System e fornisce tecniche di identificazione e mitigazione che gli amministratori possono distribuire sui dispositivi di rete Cisco.
-
Cisco Secure Access Control System (ACS) contiene vulnerabilità durante l'elaborazione di pacchetti IP versione 4 (IPv4) RMI (Remote Method Invocation). Queste vulnerabilità possono essere sfruttate in remoto senza autenticazione e richiedono l'interazione dell'utente finale. Il corretto sfruttamento di queste vulnerabilità potrebbe consentire l'esecuzione arbitraria del codice. Cisco Secure ACS utilizza RMI per la replica dei dati e della configurazione tra i server ACS; pertanto, gli Access Control List (ACL) descritti in questo documento sono applicabili tra server Cisco Secure ACS trusted. I computer client non necessitano dell'accesso a queste porte TCP.
I vettori di attacco da sfruttare sono i pacchetti IPv4 che utilizzano i protocolli e le porte seguenti:
- RMI con porta TCP 2020
- RMI con porta TCP 2030
-
Le informazioni sul software vulnerabile, non interessato e fisso sono disponibili in Cisco Security Advisory, al seguente collegamento: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131023-acs.
-
I dispositivi Cisco forniscono diverse contromisure per queste vulnerabilità. Si consiglia agli amministratori di considerare questi metodi di protezione come best practice generali per la sicurezza dei dispositivi dell'infrastruttura e del traffico che attraversa la rete. In questa sezione del documento viene fornita una panoramica di queste tecniche.
Cisco Secure ACS utilizza RMI sulle porte TCP 2020 e 2030 per la replica di informazioni di configurazione e dati in un'implementazione multiserver. Pertanto, gli indirizzi attendibili negli esempi di ACL riportati di seguito includeranno gli indirizzi Cisco Secure ACS. I client non devono accedere alle porte RMI.
Il software Cisco IOS può essere un mezzo efficace per prevenire gli attacchi tramite gli Access Control Lists (tACL) transit. Questo meccanismo di protezione filtra e scarta i pacchetti che stanno tentando di sfruttare queste vulnerabilità.
Per un'efficace prevenzione degli attacchi, è possibile usare Cisco ASA serie 5500 Adaptive Security Appliance, Cisco Catalyst serie 6500 ASA Services Module (ASASM) e Firewall Services Module (FWSM) per gli switch Cisco Catalyst serie 6500 e i router Cisco serie 7600 con Access Control Lists (ACL). Questo meccanismo di protezione filtra e scarta i pacchetti che stanno tentando di sfruttare queste vulnerabilità.
-
Le organizzazioni sono invitate a seguire i processi standard di valutazione e mitigazione dei rischi per determinare l'impatto potenziale di queste vulnerabilità. Triage si riferisce all'ordinamento dei progetti e all'assegnazione delle priorità agli sforzi che hanno maggiori probabilità di avere successo. Cisco ha fornito documenti che possono aiutare le organizzazioni a sviluppare una funzionalità di triage basata sui rischi per i team addetti alla sicurezza delle informazioni. Valutazione dei rischi per la vulnerabilità della sicurezza Gli annunci e la valutazione dei rischi e la creazione di prototipi possono aiutare le organizzazioni a sviluppare processi ripetibili di valutazione della sicurezza e di risposta.
-
Mitigazione e identificazione specifiche del dispositivo
Attenzione: l'efficacia di qualsiasi tecnica di mitigazione dipende dalle situazioni specifiche del cliente, ad esempio il mix di prodotti, la topologia di rete, il comportamento del traffico e la missione dell'organizzazione. Come per qualsiasi modifica apportata alla configurazione, valutare l'impatto della configurazione prima di applicare la modifica.
Per questi dispositivi sono disponibili informazioni specifiche sulla mitigazione e l'identificazione:
Router e switch Cisco IOS
Attenuazione: Access Control List transit
Per proteggere la rete dal traffico che entra nei punti di accesso in entrata, che possono includere punti di connessione Internet, punti di connessione fornitori e partner o punti di connessione VPN, si consiglia agli amministratori di distribuire elenchi di controllo di accesso in transito (tACL) per applicare le policy. Gli amministratori possono costruire un ACL autorizzando esplicitamente solo il traffico autorizzato ad accedere alla rete dai punti di accesso in entrata o autorizzando il traffico autorizzato a transitare sulla rete in base alle configurazioni e ai criteri di sicurezza esistenti. Una soluzione ACL non può fornire una protezione completa da queste vulnerabilità quando l'attacco ha origine da un indirizzo di origine attendibile.
Il criterio ACL impedisce l'invio ai dispositivi interessati di pacchetti IPv4 non autorizzati sulle porte TCP 2020 e 2030. Nell'esempio seguente, 192.168.60.0/24 rappresenta lo spazio di indirizzi IP utilizzato dai dispositivi ACS interessati e gli host in 192.168.100.1 sono anche considerati server Cisco Secure ACS attendibili che richiedono l'accesso ai dispositivi interessati. È necessario prestare attenzione a consentire il traffico richiesto per il routing e l'accesso amministrativo prima di rifiutare tutto il traffico non autorizzato.
Per ulteriori informazioni sugli ACL, consultare il documento Access Control Lists: Filtering at Your Edge and Identification the Effective of Security Mitigations Using Cisco IOS Software.
! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP ports ! access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 2020 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 2030 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 2020 access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 2030 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list 150 deny ip any any ! ! ! !-- Apply tACL to interface in the ingress direction ! interface GigabitEthernet0/0 ip access-group 150 in
Per ulteriori informazioni sugli ACL, consultare il documento Access Control Lists: Filtering at Your Edge (Liste di controllo dell'accesso in transito: filtraggio sul perimetro della rete).Cisco ASA, Cisco ASASM e Cisco FWSM Firewall
Attenuazione: Access Control List transit
Per proteggere la rete dal traffico che entra nei punti di accesso in entrata, che possono includere punti di connessione Internet, punti di connessione fornitori e partner o punti di connessione VPN, si consiglia agli amministratori di distribuire elenchi di controllo di accesso in transito (tACL) per applicare le policy. Gli amministratori possono costruire un ACL autorizzando esplicitamente solo il traffico autorizzato ad accedere alla rete dai punti di accesso in entrata o autorizzando il traffico autorizzato a transitare sulla rete in base alle configurazioni e ai criteri di sicurezza esistenti. Una soluzione ACL non può fornire una protezione completa da queste vulnerabilità quando l'attacco ha origine da un indirizzo di origine attendibile.
Il criterio ACL impedisce l'invio ai dispositivi interessati di pacchetti IPv4 non autorizzati sulle porte TCP 2020 e 2030. Nell'esempio seguente, 192.168.60.0/24 rappresenta lo spazio di indirizzi IP utilizzato dai dispositivi Cisco Secure ACS interessati e gli host in 192.168.100.1 sono anche considerati server Cisco Secure ACS attendibili che richiedono l'accesso ai dispositivi interessati. È necessario prestare attenzione a consentire il traffico richiesto per il routing e l'accesso amministrativo prima di rifiutare tutto il traffico non autorizzato.
Per informazioni sull'uso dell'interfaccia della riga di comando di Cisco firewall per misurare l'efficacia degli ACL, consultare il white paper sulla sicurezza di Cisco Identification of Security Exploits with Cisco ASA, Cisco ASASM e Cisco FWSM Firewall.
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable TCP ports ! access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 2020 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 2030 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list tACL-Policy extended deny tcp any 192.168.60.0 0.0.0.255 eq 2020 access-list tACL-Policy extended deny tcp any 192.168.60.0 0.0.0.255 eq 2030 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list tACL-Policy extended deny ip any 192.168.60.0 0.0.0.255 !
! ! !-- Apply tACL to interfaces in the ingress direction ! access-group tACL-Policy in interface outside
-
IL PRESENTE DOCUMENTO VIENE FORNITO "COSÌ COM'È" E NON IMPLICA ALCUNA GARANZIA O CONCESSIONE, INCLUSE LE GARANZIA DI COMMERCIABILITÀ O IDONEITÀ PER UNO SCOPO SPECIFICO. L'UTILIZZO DA PARTE DELL'UTENTE DELLE INFORMAZIONI CONTENUTE NEL DOCUMENTO O NEI MATERIALI ACCESSIBILI DAL DOCUMENTO AVVIENE A PROPRIO RISCHIO. CISCO SI RISERVA IL DIRITTO DI MODIFICARE O AGGIORNARE IL PRESENTE DOCUMENTO IN QUALSIASI MOMENTO.
-
Mostra menoVersion Descrizione Sezione Data 1 Release iniziale 2014-15-15 16:16 GMT
-
Le informazioni complete sulla segnalazione delle vulnerabilità della sicurezza nei prodotti Cisco, su come ottenere assistenza in caso di incidenti relativi alla sicurezza e su come registrarsi per ricevere informazioni sulla sicurezza da Cisco, sono disponibili sul sito Web di Cisco all'indirizzo https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Ciò include istruzioni per le richieste della stampa relative agli avvisi di sicurezza Cisco. Tutti gli avvisi sulla sicurezza Cisco sono disponibili all'indirizzo http://www.cisco.com/go/psirt.
-
La vulnerabilità della sicurezza si applica alle seguenti combinazioni di prodotti.
Prodotti principali Cisco Cisco Secure Access Control System (ACS) 5.1 (Base, 0,44) | 5.2 (Base, .0.26, .0.26.1, .0.26.2, .0.26.3, .0.26.4, .0.26.5, .0.26.6, .0.26.7, .0.26.8, .0.26.9, .0.26.10, .0.26.11) | 5.3 (Base, .0.6, .0.40, .0.40.1, .0.40.2, .0.40.3, .0.40.4, .0.40.5, .0.40.6, .0.40.7) | 5.4 (.0.46.0a, .0.46.1, .0.46.2, .0.46.3)
Prodotti associati
-
IL PRESENTE DOCUMENTO VIENE FORNITO "COSÌ COM'È" E NON IMPLICA ALCUNA GARANZIA O CONCESSIONE, INCLUSE LE GARANZIA DI COMMERCIABILITÀ O IDONEITÀ PER UNO SCOPO SPECIFICO. L'UTILIZZO DA PARTE DELL'UTENTE DELLE INFORMAZIONI CONTENUTE NEL DOCUMENTO O NEI MATERIALI ACCESSIBILI DAL DOCUMENTO AVVIENE A PROPRIO RISCHIO. CISCO SI RISERVA IL DIRITTO DI MODIFICARE O AGGIORNARE GLI AVVISI IN QUALSIASI MOMENTO.
Una copia standalone o una parafrasi del testo di questo documento che omette l'URL di distribuzione è una copia non controllata e può non contenere informazioni importanti o contenere errori materiali. Le informazioni di questo documento sono destinate agli utenti finali dei prodotti Cisco