Cisco Applied Mitigation Bulletin-
Risposta di Cisco
Questo Bollettino della mitigazione applicata è un documento complementare all'advisory della sicurezza PSIRT per le vulnerabilità delle credenziali predefinite di Cisco UCS Director e fornisce tecniche di identificazione e mitigazione che gli amministratori possono distribuire sui dispositivi di rete Cisco.
-
Una vulnerabilità in Cisco Unified Computing System (UCS) Director potrebbe consentire a un utente non autenticato e remoto di assumere il controllo completo del dispositivo interessato. La vulnerabilità è dovuta a un account utente root predefinito creato durante l'installazione. La vulnerabilità utilizza pacchetti IPv4 e IPv6 SSH e non richiede l'interazione di utenti attendibili.
Il vettore di attacco per lo sfruttamento è SSH utilizzando la porta TCP 22 sui pacchetti IPv4 e IPv6.
A questa vulnerabilità è stato assegnato l'identificatore CVE (Common Vulnerabilities and Exposures) CVE-2014-0709.
-
Le informazioni sul software vulnerabile, non interessato e fisso sono disponibili in Cisco Security Advisory, al seguente collegamento: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140219-ucsd.
-
I dispositivi Cisco forniscono diverse contromisure per questa vulnerabilità. Si consiglia agli amministratori di considerare questi metodi di protezione come best practice generali per la sicurezza dei dispositivi dell'infrastruttura e del traffico che attraversa la rete. In questa sezione del documento viene fornita una panoramica di queste tecniche.
Il software Cisco IOS può essere uno strumento efficace per prevenire gli attacchi tramite iACL (Infrastructure Access Control Lists). Questo meccanismo di protezione filtra e scarta i pacchetti che stanno tentando di sfruttare questa vulnerabilità.
Per un'efficace prevenzione degli attacchi, è possibile usare Cisco ASA serie 5500 Adaptive Security Appliance, Cisco Catalyst serie 6500 ASA Services Module (ASASM) e Firewall Services Module (FWSM) per gli switch Cisco Catalyst serie 6500 e i router Cisco serie 7600 con Access Control Lists (ACL). Questo meccanismo di protezione filtra e scarta i pacchetti che stanno tentando di sfruttare questa vulnerabilità.
-
Le organizzazioni sono invitate a seguire i processi standard di valutazione e mitigazione dei rischi per determinare l'impatto potenziale di queste vulnerabilità. Triage si riferisce all'ordinamento dei progetti e all'assegnazione delle priorità agli sforzi che hanno maggiori probabilità di avere successo. Cisco ha fornito documenti che possono aiutare le organizzazioni a sviluppare una funzionalità di triage basata sui rischi per i team addetti alla sicurezza delle informazioni. Valutazione dei rischi per la vulnerabilità della sicurezza Gli annunci e la valutazione dei rischi e la creazione di prototipi possono aiutare le organizzazioni a sviluppare processi ripetibili di valutazione della sicurezza e di risposta.
-
Mitigazione e identificazione specifiche del dispositivo
Attenzione: l'efficacia di qualsiasi tecnica di mitigazione dipende dalle situazioni specifiche del cliente, ad esempio il mix di prodotti, la topologia di rete, il comportamento del traffico e la missione dell'organizzazione. Come per qualsiasi modifica apportata alla configurazione, valutare l'impatto della configurazione prima di applicare la modifica.
Per questi dispositivi sono disponibili informazioni specifiche sulla mitigazione e l'identificazione:
Router e switch Cisco IOS
Mitigazione: Access Control List Dell'Infrastruttura
Per proteggere i dispositivi dell'infrastruttura e ridurre al minimo i rischi, l'impatto e l'efficacia degli attacchi diretti all'infrastruttura, si consiglia agli amministratori di implementare gli iACL per applicare le policy sul traffico inviato alle apparecchiature dell'infrastruttura. Gli amministratori possono costruire un iACL autorizzando esplicitamente solo il traffico autorizzato inviato ai dispositivi dell'infrastruttura in base alle configurazioni e ai criteri di sicurezza esistenti. Per garantire la massima protezione dei dispositivi dell'infrastruttura, gli iACL installati devono essere applicati in entrata su tutte le interfacce su cui è stato configurato un indirizzo IP. Una soluzione iACL non può fornire una protezione completa da queste vulnerabilità quando l'attacco ha origine da un indirizzo di origine attendibile.
Il criterio iACL nega i pacchetti IPv4 e IPv6 non autorizzati sulla porta TCP 22 che vengono inviati ai dispositivi interessati. Nell'esempio seguente, 192.168.60.0/24 e 2001:DB8:1:60::/64 rappresentano lo spazio di indirizzi IP utilizzato dai dispositivi interessati e gli host in modalità 192.168.100.1 e 2001:DB8::100:1 sono considerati fonti attendibili che richiedono l'accesso ai dispositivi interessati. È necessario prestare attenzione a consentire il traffico richiesto per il routing e l'accesso amministrativo prima di rifiutare tutto il traffico non autorizzato. Ove possibile, lo spazio di indirizzi dell'infrastruttura deve essere distinto dallo spazio di indirizzi utilizzato per i segmenti di utenti e servizi. L'uso di questa metodologia di indirizzamento semplificherà la costruzione e l'implementazione degli iACL.
Per ulteriori informazioni sugli iACL, vedere Protezione del core: Access Control List di protezione dell'infrastruttura.
ip access-list extended Infrastructure-ACL-Policy ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP port ! permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 22 ! !-- The following vulnerability-specific access control entry !-- (ACE) can aid in identification of attacks ! deny tcp any 192.168.60.0 0.0.0.255 eq 22 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! deny ip any 192.168.60.0 0.0.0.255 ! ! !-- Create the corresponding IPv6 tACL ! ipv6 access-list IPv6-Infrastructure-ACL-Policy ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP port ! permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 22 ! !-- The following vulnerability-specific ACE can !-- aid in identification of attacks to global and !-- link-local addresses ! deny tcp any 2001:DB8:1:60::/64 eq 22 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and configurations !-- and allow IPv6 neighbor discovery packets, which !-- include neighbor solicitation packets and neighbor !-- advertisement packets ! permit icmp any any nd-ns permit icmp any any nd-na ! !-- Explicit deny for all other IPv6 traffic ! deny ipv6 any 2001:DB8:1:60::/64 ! ! !-- Apply tACLs to interface in the ingress direction ! interface GigabitEthernet0/0 ip access-group Infrastructure-ACL-Policy in ipv6 traffic-filter IPv6-Infrastructure-ACL-Policy in
L'applicazione di un filtro con un elenco degli accessi all'interfaccia determinerà la trasmissione di messaggi ICMP "destinazione irraggiungibile" alla sorgente del traffico filtrato. La generazione di questi messaggi potrebbe avere l'effetto indesiderato di aumentare l'utilizzo della CPU sul dispositivo. Per impostazione predefinita, nel software Cisco IOS la generazione di pacchetti ICMP "destinazione irraggiungibile" è limitata a un pacchetto ogni 500 millisecondi. La generazione di messaggi ICMP "destinazione irraggiungibile" può essere disabilitata utilizzando i comandi di configurazione dell'interfaccia no ip unreachables e no ipv6 unreachables. La limitazione della velocità non raggiungibile ICMP può essere modificata rispetto all'impostazione predefinita utilizzando i comandi di configurazione globale ip icmp rate-limit unreachable interval-in-ms e ipv6 icmp error-interval-in-ms.
Per informazioni su come usare l'interfaccia della riga di comando del software Cisco IOS per misurare l'efficacia dell'iACL, consultare il white paper Cisco sulla sicurezza Identifying the Effective of Security Mitigations Using Cisco IOS Software.
Cisco ASA, Cisco ASASM e Cisco FWSM Firewall
Attenuazione: Access Control List transit
Per proteggere la rete dal traffico che entra nei punti di accesso in entrata, che possono includere punti di connessione Internet, punti di connessione fornitori e partner o punti di connessione VPN, si consiglia agli amministratori di distribuire gli ACL per applicare la policy. Gli amministratori possono costruire un ACL autorizzando esplicitamente solo il traffico autorizzato ad accedere alla rete dai punti di accesso in entrata o autorizzando il traffico autorizzato a transitare sulla rete in base alle configurazioni e ai criteri di sicurezza esistenti. La soluzione tACL non è in grado di fornire una protezione completa da questa vulnerabilità quando l'attacco proviene da un indirizzo di origine attendibile.
Il criterio ACL nega l'invio di pacchetti IPv4 e IPv6 non autorizzati ai dispositivi interessati. Nell'esempio seguente, 192.168.60.0/242001:DB8:1:60::/64 rappresenta lo spazio di indirizzi IP utilizzato dai dispositivi interessati e gli host 192.168.100.1 e 2001:DB8::100:1 sono considerati fonti attendibili che richiedono l'accesso ai dispositivi interessati. È necessario prestare attenzione a consentire il traffico richiesto per il routing e l'accesso amministrativo prima di rifiutare tutto il traffico non autorizzato.
Per ulteriori informazioni sugli ACL, consultare il documento Access Control Lists: Filtering at Your Edge (Liste di controllo dell'accesso in transito: filtraggio sul perimetro della rete).
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable TCP port ! access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 22 ! !-- The following vulnerability-specific access control entry !-- (ACE) can aid in identification of attacks ! access-list tACL-Policy extended deny tcp any 192.168.60.0 0.0.0.255 eq 22 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list tACL-Policy extended deny ip any 192.168.60.0 0.0.0.255 ! ! !-- Create the corresponding IPv6 tACL ! ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP port ! ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 22 ! !-- The following vulnerability-specific ACE can !-- aid in identification of attacks ! ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:DB8:1:60::/64 eq 22 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and configurations ! ! !-- Explicit deny for all other IPv6 traffic ! ipv6 access-list IPv6-tACL-Policy deny ip any any ! ! !-- Apply tACLs to interfaces in the ingress direction ! access-group tACL-Policy in interface outside access-group IPv6-tACL-Policy in interface outside
Per informazioni sull'uso dell'interfaccia della riga di comando di Cisco firewall per misurare l'efficacia degli ACL, consultare il white paper sulla sicurezza di Cisco Identification of Security Exploits with Cisco ASA, Cisco ASASM e Cisco FWSM Firewall.
A partire dal software Cisco ASA versione 9.0, gli ACL (ossia ACL unificati) supportano gli indirizzi IPv4 e IPv6. È possibile specificare una combinazione di indirizzi IPv4 e IPv6 per l'origine e la destinazione dell'ACL. Le parole chiave any4 e any6 sono state aggiunte per rappresentare rispettivamente il traffico solo IPv4 e il traffico solo IPv6.
Le voci degli elenchi di accesso IPv4 e IPv6 (ACE) presentate negli ACL IPv4 e IPv6 di questa sezione possono essere incorporate anche in un ACL unificato.
Per ulteriori informazioni sugli ACL unificati, consultare la sezione Aggiunta di un elenco degli accessi estesi nella guida alla configurazione di Cisco ASA.
-
IL PRESENTE DOCUMENTO VIENE FORNITO "COSÌ COM'È" E NON IMPLICA ALCUNA GARANZIA O CONCESSIONE, INCLUSE LE GARANZIA DI COMMERCIABILITÀ O IDONEITÀ PER UNO SCOPO SPECIFICO. L'UTILIZZO DA PARTE DELL'UTENTE DELLE INFORMAZIONI CONTENUTE NEL DOCUMENTO O NEI MATERIALI ACCESSIBILI DAL DOCUMENTO AVVIENE A PROPRIO RISCHIO. CISCO SI RISERVA IL DIRITTO DI MODIFICARE O AGGIORNARE IL PRESENTE DOCUMENTO IN QUALSIASI MOMENTO.
-
Mostra menoVersion Descrizione Sezione Data 1 Cronologia avvisi
Release iniziale2014-Febbraio-19 16:02 GMT
-
Le informazioni complete sulla segnalazione delle vulnerabilità della sicurezza nei prodotti Cisco, su come ottenere assistenza in caso di incidenti relativi alla sicurezza e su come registrarsi per ricevere informazioni sulla sicurezza da Cisco, sono disponibili sul sito Web di Cisco all'indirizzo https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Ciò include istruzioni per le richieste della stampa relative agli avvisi di sicurezza Cisco. Tutti gli avvisi sulla sicurezza Cisco sono disponibili all'indirizzo http://www.cisco.com/go/psirt.
-
La vulnerabilità della sicurezza si applica alle seguenti combinazioni di prodotti.
Prodotti principali Cisco Cisco Unified Computing System Director 3.4 (Base) | 4,0 (base)
Prodotti associati
-
IL PRESENTE DOCUMENTO VIENE FORNITO "COSÌ COM'È" E NON IMPLICA ALCUNA GARANZIA O CONCESSIONE, INCLUSE LE GARANZIA DI COMMERCIABILITÀ O IDONEITÀ PER UNO SCOPO SPECIFICO. L'UTILIZZO DA PARTE DELL'UTENTE DELLE INFORMAZIONI CONTENUTE NEL DOCUMENTO O NEI MATERIALI ACCESSIBILI DAL DOCUMENTO AVVIENE A PROPRIO RISCHIO. CISCO SI RISERVA IL DIRITTO DI MODIFICARE O AGGIORNARE GLI AVVISI IN QUALSIASI MOMENTO.
Una copia standalone o una parafrasi del testo di questo documento che omette l'URL di distribuzione è una copia non controllata e può non contenere informazioni importanti o contenere errori materiali. Le informazioni di questo documento sono destinate agli utenti finali dei prodotti Cisco