-
Risposta di Cisco
Il presente bollettino sulla mitigazione applicata è un documento complementare ai seguenti consigli di sicurezza PSIRT:
Questo documento fornisce le tecniche di identificazione e mitigazione che gli amministratori possono distribuire sui dispositivi di rete Cisco.
-
Ripetuti tentativi di sfruttare questa vulnerabilità potrebbero causare una condizione DoS prolungata.
I vettori di attacco da sfruttare sono i pacchetti IPv4 che utilizzano i protocolli e le porte seguenti:
- SIP con TCP 5060
- SIP con TCP 5061
- SIP con UDP 5060
A questa vulnerabilità è stato assegnato l'identificatore CVE (Common Vulnerabilities and Exposures) CVE-2014-0662.
-
Panoramica delle tecniche di mitigazione
I dispositivi Cisco forniscono diverse contromisure per queste vulnerabilità. Si consiglia agli amministratori di considerare questi metodi di protezione come best practice generali per la sicurezza dei dispositivi dell'infrastruttura e del traffico che attraversa la rete. In questa sezione del documento viene fornita una panoramica di queste tecniche.
Il software Cisco IOS può fornire mezzi efficaci di prevenzione degli attacchi tramite .Questo meccanismo di protezione filtra e scarta i pacchetti che stanno tentando di sfruttare questa vulnerabilità.
Un'efficace prevenzione degli attacchi può essere fornita anche da Cisco ASA serie 5500 Adaptive Security Appliance, Cisco Catalyst serie 6500 ASA Services Module (ASASM) e dal Firewall Services Module (FWSM) per gli switch Cisco Catalyst serie 6500 e i router Cisco serie 7600. Questo meccanismo di protezione filtra e scarta i pacchetti che tentano di sfruttare questa vulnerabilità.
-
Gestione dei rischi
Le organizzazioni sono invitate a seguire i processi standard di valutazione e mitigazione dei rischi per determinare l'impatto potenziale di queste vulnerabilità. Triage si riferisce all'ordinamento dei progetti e all'assegnazione delle priorità agli sforzi che hanno maggiori probabilità di avere successo. Cisco ha fornito documenti che possono aiutare le organizzazioni a sviluppare una funzionalità di triage basata sui rischi per i team addetti alla sicurezza delle informazioni. Valutazione dei rischi per la vulnerabilità della sicurezza Gli annunci e la valutazione dei rischi e la creazione di prototipi possono aiutare le organizzazioni a sviluppare processi ripetibili di valutazione della sicurezza e di risposta.
-
Mitigazione e identificazione specifiche del dispositivo
Attenzione: l'efficacia di qualsiasi tecnica di mitigazione dipende dalle situazioni specifiche del cliente, come il mix di prodotti, la topologia di rete, il comportamento del traffico e la missione organizzativa. Come per qualsiasi modifica apportata alla configurazione, valutare l'impatto della configurazione prima di applicare la modifica.
Per questi dispositivi sono disponibili informazioni specifiche sulla mitigazione e l'identificazione:
Router e switch Cisco IOS
Attenuazione: Access Control List transit
Per proteggere la rete dal traffico che entra nei punti di accesso in entrata, che possono includere punti di connessione Internet, punti di connessione fornitori e partner o punti di connessione VPN, si consiglia agli amministratori di distribuire elenchi di controllo di accesso in transito (tACL) per applicare le policy. Gli amministratori possono costruire un ACL autorizzando esplicitamente solo il traffico autorizzato ad accedere alla rete dai punti di accesso in entrata o autorizzando il traffico autorizzato a transitare sulla rete in base alle configurazioni e ai criteri di sicurezza esistenti. La soluzione tACL non è in grado di fornire una protezione completa da questa vulnerabilità quando l'attacco proviene da un indirizzo di origine attendibile.
Il criterio ACL nega l'invio ai dispositivi interessati di pacchetti IPv4 non autorizzati sulle porte TCP 5060 e 5061 e sulla porta UDP 5060. Nell'esempio seguente, 192.168.60.0/24 e rappresenta lo spazio di indirizzi IP utilizzato dai dispositivi interessati. È necessario prestare attenzione a consentire il traffico richiesto per il routing e l'accesso amministrativo prima di rifiutare tutto il traffico non autorizzato. Per ulteriori informazioni sugli ACL, consultare il documento Access Control Lists: Filtering at Your Edge (Liste di controllo dell'accesso in transito: filtraggio sul perimetro della rete).! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports ! access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061 access-list 150 permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 5060 access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 5061 access-list 150 deny udp any 192.168.60.0 0.0.0.255 eq 5060 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list 150 deny ip any any ! ! !-- Apply tACL to interface in the ingress direction ! interface GigabitEthernet0/0 ip access-group 150 in
Per informazioni su come utilizzare l'interfaccia della riga di comando del software Cisco IOS per misurare l'efficacia della protezione dallo spoofing, consultare il white paper Cisco Security Identifying the Effective of Security Mitigations Using Cisco IOS Software.
Per informazioni su come utilizzare l'interfaccia della riga di comando del software Cisco IOS per misurare l'efficacia dei metodi di protezione dallo spoofing, consultare il white paper Cisco Security Identifying the Effective of Security Mitigations Using Cisco IOS Software.Attenuazione: protezione da spoofing
Inoltro percorso inverso unicast
Le vulnerabilità descritte in questo documento possono essere sfruttate da pacchetti IP oggetto di spoofing. Gli amministratori possono distribuire e configurare Unicast Reverse Path Forwarding (uRPF) come meccanismo di protezione contro lo spoofing.
uRPF è configurato a livello di interfaccia ed è in grado di rilevare ed eliminare pacchetti che non dispongono di un indirizzo IP di origine verificabile. Gli amministratori non devono affidarsi a uRPF per fornire una protezione completa dallo spoofing, in quanto i pacchetti oggetto di spoofing possono entrare nella rete tramite un'interfaccia abilitata a uRPF se esiste una route di ritorno appropriata all'indirizzo IP di origine. Si consiglia agli amministratori di assicurarsi che durante la distribuzione di questa funzionalità sia configurata la modalità uRPF appropriata (libera o rigida), in quanto può bloccare il traffico legittimo che attraversa la rete. In un ambiente aziendale, è possibile abilitare uRPF sul perimetro Internet e sul livello di accesso interno sulle interfacce di layer 3 supportate dall'utente.
Per ulteriori informazioni sulla configurazione e l'utilizzo di uRPF, consultare il white paper Understanding Unicast Reverse Path Forwarding (informazioni in lingua inglese) su Cisco Security.
Protezione origine IP
IPSG (IP Source Guard) è una funzione di sicurezza che limita il traffico IP su interfacce di livello 2 non instradate filtrando i pacchetti in base al database di binding dello snooping DHCP e ai binding di origine IP configurati manualmente. Gli amministratori possono utilizzare il protocollo IPSG per prevenire gli attacchi degli utenti non autorizzati che tentano di falsificare i pacchetti falsificando l'indirizzo IP di origine e/o l'indirizzo MAC. Se correttamente implementato e configurato, IPSG, insieme a uRPF in modalità rigorosa, fornisce i mezzi più efficaci per la protezione da spoofing delle vulnerabilità descritte in questo documento.
Per ulteriori informazioni sulla distribuzione e la configurazione di IPSG, consultare il documento sulla configurazione delle funzionalità DHCP e di IP Source Guard.
Per informazioni su come utilizzare l'interfaccia della riga di comando del software Cisco IOS per misurare l'efficacia della protezione dallo spoofing, consultare il white paper Cisco Security Identifying the Effective of Security Mitigations Using Cisco IOS Software.
Cisco ASA, Cisco ASASM e Cisco FWSM Firewall
Attenuazione: Access Control List transit
Per proteggere la rete dal traffico che entra nei punti di accesso in entrata, che possono includere punti di connessione Internet, punti di connessione fornitori e partner o punti di connessione VPN, si consiglia agli amministratori di distribuire gli ACL per applicare la policy. Gli amministratori possono costruire un ACL autorizzando esplicitamente solo il traffico autorizzato ad accedere alla rete dai punti di accesso in entrata o autorizzando il traffico autorizzato a transitare sulla rete in base alle configurazioni e ai criteri di sicurezza esistenti. Una soluzione ACL non può fornire una protezione completa da queste vulnerabilità quando l'attacco ha origine da un indirizzo di origine attendibile.
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable TCP and UDP ports ! access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5061 access-list tACL-Policy extended permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 5060 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list tACL-Policy extended deny tcp any 192.168.60.0 0.0.0.255 eq 5060 access-list tACL-Policy extended deny tcp any 192.168.60.0 0.0.0.255 eq 5061 access-list tACL-Policy extended deny udp any 192.168.60.0 0.0.0.255 eq 5060 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list tACL-Policy extended deny ip any 192.168.60.0 0.0.0.255 ! ! !-- Apply tACL to interfaces in the ingress direction ! access-group tACL-Policy in interface outside
Per informazioni sull'uso dell'interfaccia della riga di comando di Cisco firewall per misurare l'efficacia degli ACL, consultare il white paper sulla sicurezza di Cisco Identification of Security Exploits with Cisco ASA, Cisco ASASM e Cisco FWSM Firewall.
Attenuazione: protezione da spoofing con inoltro percorso inverso unicast
Le vulnerabilità descritte in questo documento possono essere sfruttate da pacchetti IP oggetto di spoofing. Gli amministratori possono installare e configurare uRPF come meccanismo di protezione contro lo spoofing.
uRPF è configurato a livello di interfaccia ed è in grado di rilevare ed eliminare pacchetti che non dispongono di un indirizzo IP di origine verificabile. Gli amministratori non devono affidarsi a uRPF per fornire una protezione completa dallo spoofing, in quanto i pacchetti oggetto di spoofing possono entrare nella rete tramite un'interfaccia abilitata a uRPF se esiste una route di ritorno appropriata all'indirizzo IP di origine. In un ambiente aziendale, è possibile abilitare uRPF sul perimetro Internet e sul livello di accesso interno sulle interfacce di layer 3 supportate dall'utente.
Per ulteriori informazioni sulla configurazione e l'utilizzo di uRPF, consultare la guida di riferimento dei comandi di Cisco Security Appliance per ip verify reverse-path e il white paper Understanding Unicast Reverse Path Forwarding Cisco Security.
Per informazioni su come utilizzare l'interfaccia della riga di comando del firewall per misurare l'efficacia della protezione dallo spoofing, vedere il white paper Cisco Security Identification of Security Exploits with Cisco ASA, Cisco ASASM e Cisco FWSM Firewall.
Mitigazione: tabella delle firme IPS Cisco
Gli amministratori possono utilizzare gli accessori e i moduli servizi IPS Cisco per rilevare le minacce e contribuire a prevenire i tentativi di sfruttare alcune delle vulnerabilità descritte più avanti nel documento. Nella tabella seguente viene fornita una panoramica degli identificatori CVE e delle rispettive firme IPS Cisco che attiveranno eventi su potenziali tentativi di sfruttare queste vulnerabilità.
ID CVE Release della firma Signature ID Nome firma Attivato Gravità Fedeltà* Note CVE-2014-0662 S764 3571-0 Cisco TelePresence Video Communications Service - Negazione del servizio SIP No Media 70 * Fidelity è anche noto come Signature Fidelity Rating (SFR) ed è la misura relativa della precisione della firma (predefinito). Il valore è compreso tra 0 e 100 ed è impostato da Cisco Systems, Inc.
Gli amministratori possono configurare i sensori Cisco IPS in modo da eseguire un'azione evento quando viene rilevato un attacco. L'azione evento configurata esegue controlli preventivi o deterrenti per contribuire alla protezione da un attacco che tenta di sfruttare le vulnerabilità elencate nella tabella precedente.
I sensori Cisco IPS sono più efficaci se installati in modalità di protezione inline combinata con l'uso di un'azione evento. La funzione di prevenzione automatica delle minacce per i sensori Cisco IPS 7.x e 6.x implementati in modalità di protezione inline fornisce una prevenzione delle minacce contro gli attacchi che tentano di sfruttare la vulnerabilità descritta in questo documento. La prevenzione delle minacce viene ottenuta tramite un override predefinito che esegue un'azione evento per le firme attivate con un valore riskRatingValue maggiore di 90.
Per ulteriori informazioni sul calcolo della classificazione dei rischi e delle minacce, vedere Classificazione dei rischi e classificazione delle minacce: semplificare la gestione delle policy IPS.
Per informazioni sull'utilizzo di Cisco Security Manager per visualizzare l'attività da un sensore Cisco IPS, consultare il white paper Identificazione del traffico dannoso con Cisco Security Manager.
-
IL PRESENTE DOCUMENTO VIENE FORNITO "COSÌ COM'È" E NON IMPLICA ALCUNA GARANZIA O CONCESSIONE, INCLUSE LE GARANZIA DI COMMERCIABILITÀ O IDONEITÀ PER UNO SCOPO SPECIFICO. L'UTILIZZO DA PARTE DELL'UTENTE DELLE INFORMAZIONI CONTENUTE NEL DOCUMENTO O NEI MATERIALI ACCESSIBILI DAL DOCUMENTO AVVIENE A PROPRIO RISCHIO. CISCO SI RISERVA IL DIRITTO DI MODIFICARE O AGGIORNARE IL PRESENTE DOCUMENTO IN QUALSIASI MOMENTO.
-
Version Descrizione Sezione Data 1 Release iniziale 2014-Gennaio-22 16:00 GMT
-
Le informazioni complete sulla segnalazione delle vulnerabilità della sicurezza nei prodotti Cisco, su come ottenere assistenza in caso di incidenti relativi alla sicurezza e su come registrarsi per ricevere informazioni sulla sicurezza da Cisco, sono disponibili sul sito Web di Cisco all'indirizzo https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Ciò include istruzioni per le richieste della stampa relative agli avvisi di sicurezza Cisco. Tutti gli avvisi sulla sicurezza Cisco sono disponibili all'indirizzo http://www.cisco.com/go/psirt.
- Bollettini sulla mitigazione applicata da Cisco
- Cisco Security
- Servizio Cisco Security IntelliShield Alert Manager
- Guida Cisco per fortificare i dispositivi Cisco IOS
- Cisco IOS NetFlow - Home Page su Cisco.com
- White paper su Cisco IOS NetFlow
- Analisi delle prestazioni di NetFlow
- White paper su Cisco Network Foundation Protection
- Presentazioni di Cisco Network Foundation Protection
- Un approccio orientato alla sicurezza per l'indirizzamento IP
- Prodotti Cisco Firewall - Home Page su Cisco.com
- Cisco Catalyst serie 6500 ASA Services Module
- Miglioramenti unicast Reverse Path Forwarding per il provider di servizi Internet
- Cisco Intrusion Prevention System
- Download di firme IPS Cisco
- Pagina di ricerca delle firme IPS Cisco
- Cisco Security Manager
- Vulnerabilità ed esposizioni comuni (CVE)
- Iscriviti ai bollettini sulla mitigazione applicata di Cisco
-
La vulnerabilità della sicurezza si applica alle seguenti combinazioni di prodotti.
Prodotti principali Cisco Cisco TelePresence Video Communication Server (VCS) X5.2 (base) | X6,0 (Base) | X6.1 (Base) | X7.0 (.0, .1, .2, .3) | X7.1 (Base) | X7.2 (Base, 0,1, 0,2)
Prodotti associati
-
IL PRESENTE DOCUMENTO VIENE FORNITO "COSÌ COM'È" E NON IMPLICA ALCUNA GARANZIA O CONCESSIONE, INCLUSE LE GARANZIA DI COMMERCIABILITÀ O IDONEITÀ PER UNO SCOPO SPECIFICO. L'UTILIZZO DA PARTE DELL'UTENTE DELLE INFORMAZIONI CONTENUTE NEL DOCUMENTO O NEI MATERIALI ACCESSIBILI DAL DOCUMENTO AVVIENE A PROPRIO RISCHIO. CISCO SI RISERVA IL DIRITTO DI MODIFICARE O AGGIORNARE GLI AVVISI IN QUALSIASI MOMENTO.
Una copia standalone o una parafrasi del testo di questo documento che omette l'URL di distribuzione è una copia non controllata e può non contenere informazioni importanti o contenere errori materiali. Le informazioni di questo documento sono destinate agli utenti finali dei prodotti Cisco