Identificazione e mitigazione dello sfruttamento delle molteplici vulnerabilità in Cisco Unified Communications Domain Manager

Aggiornato:6 agosto 2016
ID documento:1470489956734188

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Cisco Applied Mitigation Bulletin

Identificazione e mitigazione dello sfruttamento delle molteplici vulnerabilità in Cisco Unified Communications Domain Manager

ID documento:
34689
Prima pubblicazione:
2014 2 luglio 16:04 GMT
Version: 
1
CVE-2014-2197
CVE-2014-2198
CVE-2014-3300
IntelliShield
CVE-2014-2197
CVE-2014-2198
CVE-2014-3300
IntelliShield

Risposta di Cisco

  • Questo Bollettino sulla mitigazione applicata è un documento complementare al PSIRT Security Advisory Multiple Vulnerabilities in Cisco Unified Communications Domain Manager e fornisce tecniche di identificazione e mitigazione che gli amministratori possono distribuire sui dispositivi di rete Cisco.

Caratteristiche di vulnerabilità

  • Una vulnerabilità nel framework Web del software applicativo Cisco Unified Communications Domain Manager potrebbe consentire a un utente non autenticato e remoto di accedere e modificare le informazioni utente del portale BVSMWeb. Il vettore di attacco per l'utilizzo è tramite i pacchetti IPv4 e IPv6 HTTP e HTTPS che utilizzano le porte TCP 80 e 443.

    A questa vulnerabilità è stato assegnato l'identificatore CVE (Common Vulnerabilities and Exposures) CVE-2014-3300.

Panoramica delle vulnerabilità

Panoramica delle tecniche di mitigazione

  • I dispositivi Cisco forniscono diverse contromisure per questa vulnerabilità. Si consiglia agli amministratori di considerare questi metodi di protezione come best practice generali per la sicurezza dei dispositivi dell'infrastruttura e del traffico che attraversa la rete. In questa sezione del documento viene fornita una panoramica di queste tecniche.

    Il software Cisco IOS può essere uno strumento efficace per prevenire gli attacchi tramite IOS Zone-Based Firewall.

    Mezzi efficaci per prevenire gli attacchi possono essere forniti anche da Cisco ASA serie 5500 e 5500-X Adaptive Security Appliance, Cisco Catalyst serie 6500 ASA Services Module (ASASM) e Firewall Services Module (FWSM) per gli switch Cisco Catalyst serie 6500 e i router Cisco serie 7600, usando quanto segue:
    • Ispezione protocollo livello applicazione
    • Filtro URL
    • Servizi firewall di nuova generazione
    Questi meccanismi di protezione filtrano ed eliminano i pacchetti che stanno tentando di sfruttare questa vulnerabilità.

    L'appliance e il modulo Cisco ACE Application Control Engine possono fornire un'efficace prevenzione degli attacchi anche tramite l'ispezione del protocollo dell'applicazione.

    Questo meccanismo di protezione filtra e scarta i pacchetti che stanno tentando di sfruttare questa vulnerabilità.

    L'uso efficace delle azioni evento di Cisco Intrusion Prevention System (IPS) offre visibilità e protezione dagli attacchi che tentano di sfruttare questa vulnerabilità.

    L'uso efficace delle azioni evento di Cisco Web Security Appliance fornisce visibilità e protezione dagli attacchi che tentano di sfruttare la vulnerabilità che ha un vettore di attacco sul Web.

    L'uso efficace delle azioni degli eventi di Cisco Cloud Web Security fornisce visibilità e protezione contro gli attacchi che tentano di sfruttare una vulnerabilità che ha un vettore di attacco sul Web.

Gestione dei rischi

  • Le organizzazioni sono invitate a seguire i processi standard di valutazione e mitigazione dei rischi per determinare l'impatto potenziale di questa vulnerabilità. Triage si riferisce all'ordinamento dei progetti e all'assegnazione delle priorità agli sforzi che hanno maggiori probabilità di avere successo. Cisco ha fornito documenti che possono aiutare le organizzazioni a sviluppare una funzionalità di triage basata sui rischi per i team addetti alla sicurezza delle informazioni. Valutazione dei rischi per la vulnerabilità della sicurezza Gli annunci e la valutazione dei rischi e la creazione di prototipi possono aiutare le organizzazioni a sviluppare processi ripetibili di valutazione della sicurezza e di risposta.

Mitigazione e identificazione specifiche del dispositivo

  • Attenzione: l'efficacia di qualsiasi tecnica di mitigazione dipende dalle situazioni specifiche del cliente, ad esempio il mix di prodotti, la topologia di rete, il comportamento del traffico e la missione dell'organizzazione. Come per qualsiasi modifica apportata alla configurazione, valutare l'impatto della configurazione prima di applicare la modifica.

    Per questi dispositivi sono disponibili informazioni specifiche sulla mitigazione e l'identificazione:

    Router e switch Cisco IOS

    Attenuazione: IOS Zone Based Firewall

    A partire dal software Cisco IOS versione 12.4(6)T, ZFW (Zone-Based Policy Firewall) ha sostituito Cisco IOS Context-Based Access Control (CBAC). Garantisce la granularità dell'applicazione dei criteri firewall e un criterio di negazione totale predefinito che impedisce il traffico tra le aree di protezione del firewall fino a quando non viene applicato un criterio esplicito per consentire il traffico desiderato.

    In Cisco IOS ZFW, le zone stabiliscono i bordi di sicurezza della rete. Una zona definisce un limite in cui il traffico è soggetto a restrizioni dei criteri mentre attraversa un'altra area della rete. Il criterio predefinito ZFW tra le zone è quello di negare tutto il traffico. Se non viene configurato alcun criterio in modo esplicito, tutto il traffico che tenta di spostarsi tra le zone verrà bloccato. ZFW utilizza un linguaggio dei criteri di configurazione noto come Cisco Policy Language (CPL). Gli utenti che conoscono MQC (Modular quality-of-service) del software Cisco IOS potrebbero riconoscere che il formato è simile al modo in cui le mappe delle classi vengono utilizzate in una configurazione QoS per specificare il traffico su cui influirà l'azione applicata in una mappa dei criteri. Cisco IOS ZFW supporta le ispezioni IPv4 e IPv6 di layer 4 con conservazione dello stato e può anche fornire ispezione specifica dell'applicazione, failover del firewall con conservazione dello stato, proxy di autenticazione, mitigazione dei DoS (Denial of Service), filtro URL e altro ancora.

    Le policy che bloccano l'accesso ai protocolli e alle porte descritte in questo documento possono essere configurate usando Cisco IOS ZFW. L'ispezione del layer 7 del protocollo HTTP ZFW può essere utilizzata anche per bloccare una richiesta con "/bvsmweb" nell'URL.

    Per gli esempi di configurazione, fare riferimento ai documenti IOS ZBF Set-by-Step Configuration e IPv6 Zone Based Firewall (ZFW) in Cisco Support Community e Cisco Configuration Professional: Zone-Based Firewall Blocking Peer to Peer Traffic Configuration Example. Per ulteriori informazioni su Cisco IOS ZBF, fare riferimento alla guida alla progettazione e all'applicazione di firewall per le policy basate su zone.

    Introdotta nel software Cisco IOS versione 12.4(20)T, la funzione User-Based Firewall di IOS può fornire sicurezza basata sull'identità o sul gruppo di utenti, che fornisce accesso differenziato a diverse classi di utenti. La classificazione può essere effettuata in base all'identità dell'utente, al tipo di dispositivo (ad esempio, telefoni IP), alla posizione (ad esempio, edificio) e al ruolo (ad esempio, tecnico).

    Le policy di Cisco IOS Firewall che bloccano l'accesso ai protocolli e alle porte o le applicazioni di filtro possono essere configurate per singolo utente o gruppo di utenti utilizzando la funzione User Based Firewall.

    Per ulteriori informazioni su Cisco User-Based Firewall, consultare la guida al supporto dei firewall basati sull'utente e le informazioni sulle funzionalità per il supporto dei firewall basati sull'utente.

    Cisco ASA, Cisco ASASM e Cisco FWSM Firewall

    Attenuazione: ispezione protocollo livello applicazione

    L'ispezione del protocollo del livello applicazione è disponibile a partire dal software versione 7.2(1) per Cisco ASA serie 5500 e 5500-X Adaptive Security Appliance, versione 8.5 per Cisco Catalyst serie 6500 ASA Services Module e nella versione 4.0(1) per Cisco Firewall Services Module. Questa funzionalità di sicurezza avanzata esegue l'ispezione approfondita del traffico che attraversa il firewall. Gli amministratori possono creare un criterio di ispezione per le applicazioni che richiedono una gestione speciale tramite la configurazione delle mappe delle classi di ispezione e delle mappe dei criteri di ispezione, che vengono applicate tramite un criterio globale o di servizio di interfaccia. L'ispezione dell'applicazione ispezionerà i pacchetti IPv4 e IPv6 corrispondenti nella mappa delle classi del criterio.

    Per ulteriori informazioni sull'ispezione del protocollo a livello di applicazione e sul Modular Policy Framework (MPF), consultare la sezione Guida introduttiva all'ispezione del protocollo a livello di applicazione nel libro 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.1.

    Attenzione: l'ispezione del protocollo a livello di applicazione diminuirà le prestazioni del firewall. Prima di implementare questa funzionalità negli ambienti di produzione, gli amministratori sono invitati a testare l'impatto sulle prestazioni in un ambiente lab.

    Ispezione applicazione HTTP
    Utilizzando il motore di ispezione HTTP sulle appliance Cisco ASA serie 5500 e 5500-X Adaptive Security, sui moduli Cisco ASA serie 6500 e sul modulo Cisco Firewall Services, gli amministratori possono configurare le espressioni regolari (regex) per la corrispondenza dei pattern e costruire mappe delle classi di ispezione e mappe dei criteri di ispezione. Questi metodi possono contribuire a proteggere il sistema da vulnerabilità specifiche, ad esempio quella descritta in questo documento, e da altre minacce che possono essere associate al traffico HTTP. Nella configurazione di ispezione dell'applicazione HTTP seguente viene utilizzato Cisco Modular Policy Framework (MPF) per creare un criterio per l'ispezione del traffico sulle porte TCP 80, 3128, 8000, 8010, 8080, 8888 e 24326, che sono le porte predefinite per la variabile Cisco IPS #WEBPORTS.

    Attenzione: i regex configurati possono corrispondere a stringhe di testo in qualsiasi posizione nel corpo di una risposta HTML. Occorre fare attenzione a non compromettere le applicazioni aziendali legittime che utilizzano stringhe di testo corrispondenti. Per ulteriori informazioni sulla sintassi regex, vedere Creazione di un'espressione regolare. 
    ! !-- Configure regex that looks for the string that !-- is typically used to exploit this vulnerability ! 
regex CVE-2014-3300 ".+/bvsmweb"
! !-- Configure a regex class to match on the regular !-- expression that is configured above ! 
class-map type regex match-any vulnerable_url_class
 match regex CVE-2014-3300
! !-- Configure an object group for the default ports that !-- are used by the Cisco IPS #WEBPORTS variable, which !-- are TCP ports 80 (www), 3128, 8000, 8010, 8080, 8888, !-- and 24326 !
object-group service WEBPORTS tcp
 port-object eq www 
 port-object eq 3128 
 port-object eq 8000 
 port-object eq 8010 
 port-object eq 8080 
 port-object eq 8888 
 port-object eq 24326 
! !-- Configure an access list that uses the WEBPORTS object !-- group, which will be used to match TCP packets that !-- are destined to the #WEBPORTS variable that is used !-- by a Cisco IPS device !
access-list Webports_ACL extended permit tcp any any object-group WEBPORTS 
! !-- Configure a class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable !
class-map Webports_Class
 match access-list Webports_ACL
! !-- Configure an HTTP application inspection policy that !-- identifies, drops, and logs connections that contain !-- the regex that is configured above ! policy-map type inspect http http_Policy
 parameters
! !-- "body-match-maximum" indicates the maximum number of !-- characters in the body of an HTTP message that !-- should be searched in a body match. The default value is !-- 200 bytes. A larger number may have an impact !-- on system performance. Administrators are advised !-- to test performance impact in a lab environment before !-- this command is deployed in production environments !   body-match-maximum 200
 match response body regex class vulnerable_url_class   
  drop-connection log  
! !-- Add the above-configured "Webports_Class" that matches !-- TCP packets that are destined to the default ports !-- that are used by the Cisco IPS #WEBPORTS variable to !-- the default policy "global_policy" and use it to !-- inspect HTTP traffic that transits the firewall ! 
policy-map global_policy
 class Webports_Class
  inspect http http_Policy  ! !-- By default, the policy "global_policy" is applied !-- globally, which results in the inspection of !-- traffic that enters the firewall from all interfaces !
service-policy global_policy global

    Per ulteriori informazioni sulla configurazione e l'uso dei gruppi di oggetti, consultare la sezione Add Global Objects del libro 1: Cisco ASA Series General Operations CLI Configuration Guide, 9.1.

    Per ulteriori informazioni sull'ispezione delle applicazioni HTTP e sull'MPF, consultare la sezione Ispezione HTTP del libro 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.1.

    Per informazioni sull'utilizzo della CLI di Cisco Firewall per misurare l'efficacia dell'ispezione delle applicazioni, fare riferimento al white paper Cisco Security Intelligence Operations Identification of Security Exploits with Cisco ASA, Cisco ASASM e Cisco FWSM Firewall.

    Attenuazione: filtro URL

    Il filtro URL può essere applicato sull'appliance ASA utilizzando i prodotti di filtro Internet Websense Enterprise Secure Computing Smart Filter (in precedenza N2H2). Quando il filtro URL è abilitato, l'ASA applica solo le decisioni dei criteri di filtro prese per HTTP, HTTPS e FTP dalle configurazioni dei prodotti filtro Internet.

    In particolare, per il contenuto HTTPS, l'ASA invia la ricerca dell'URL senza informazioni sulla directory e il nome del file. Quando il server filtro approva una richiesta di connessione HTTPS, l'ASA consente il completamento della negoziazione della connessione SSL e permette alla risposta dal server Web di raggiungere il client di origine. Se il server filtro rifiuta la richiesta, l'ASA impedisce il completamento della negoziazione della connessione SSL. Il browser visualizza un messaggio di errore come "The Page or the content cannot be displayed" (Impossibile visualizzare la pagina o il contenuto).

    Il filtro URL è configurato usando i comandi CLI globali url-server e filter.

    Il filtro URL può essere usato per mitigare la vulnerabilità descritta in questo documento filtrando le richieste HTTP che contengono "/bvsmweb" nei loro URL.

    Per ulteriori informazioni, vedere la sezione " Filtering HTTPS URLs" della guida alla configurazione di Cisco ASA e come configurare il filtro URL nel documento della Cisco Support Community.

    Mitigazione: servizi firewall di nuova generazione

    A partire dal software Cisco ASA versione 8.4(5) per Cisco ASA 5585-X con ASA CX SSP-10 e -20; dal software Cisco ASA versione 9.1 per Cisco ASA 5512-X, ASA 5515-X, ASA 5525-X, ASA 5545-X e ASA 5555-X; e dal software Cisco ASA versione 9.1(3) per Cisco ASA 5585-X con ASA SSP I servizi Cisco ASA Next-Generation Firewall (NGFW) con i valori -40 e -60 consentono a un amministratore di monitorare o applicare policy in base all'identità dell'utente (who), all'applicazione o al sito Web a cui l'utente sta tentando di accedere (what), all'origine del tentativo di accesso (where), all'ora del tentativo di accesso (when) e alle proprietà del dispositivo utilizzato per l'accesso (how).

    I servizi NGFW vengono eseguiti in un modulo hardware (SSP per ASA5585-X) o software (ASA 5512-X, ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X) separato. L'ASA inoltra il traffico (utilizzando i criteri MPF) al modulo NGFW per il monitoraggio e/o l'applicazione dei criteri configurati. Le policy NGFW possono essere configurate usando l'interfaccia grafica utente di Cisco Prime Security Manager (PRSM) in modalità dispositivo singolo o multiplo. Diverse applicazioni possono essere riconosciute e utilizzate come parte del servizio Application Visibility and Control (AVC) su NGFW. Il riconoscimento delle applicazioni viene costantemente aggiornato tramite aggiornamenti di firme e motori. Analogamente, il servizio Web Security Essentials (WSE) può ispezionare le funzionalità Web e soddisfare le richieste e intervenire in base a esse. È inoltre possibile utilizzare criteri di reputazione Web per filtrare il traffico in base alla reputazione delle destinazioni visitate.

    Cisco NGFW può essere usato per ridurre la vulnerabilità descritta in questo documento filtrando gli URL contenenti la stringa "/bvsmweb".

    Le policy di monitoraggio e filtro (AVC e WSE) possono essere applicate anche al traffico TLS crittografato.

    Per ulteriori informazioni sulle applicazioni supportate, vedere il portale delle applicazioni ASA NGFW Services. Per ulteriori informazioni sulla configurazione dell'ASA, vedere la sezione "Configuring the ASA CX Module" nella guida alla configurazione di Cisco ASA. Per ulteriori informazioni sulla configurazione di ASA CX, consultare la Guida per l'utente di ASA CX e Cisco Prime Security Manager.

    Cisco ACE

    Attenuazione: ispezione del protocollo dell'applicazione

    L'ispezione del protocollo dell'applicazione è disponibile per Cisco ACE Application Control Engine Appliance e modulo. Questa funzionalità di sicurezza avanzata esegue l'ispezione approfondita dei pacchetti del traffico che attraversa Cisco ACE. Gli amministratori possono creare un criterio di ispezione per le applicazioni che richiedono una gestione speciale tramite la configurazione delle mappe delle classi di ispezione e delle mappe dei criteri di ispezione, che vengono applicate tramite un criterio globale o di servizio di interfaccia.

    Per ulteriori informazioni sull'ispezione del protocollo dell'applicazione, vedere la sezione Configurazione dell'ispezione del protocollo dell' applicazione nella Security Guide vA5(1.0), Cisco ACE Application Control Engine.

    Ispezione approfondita pacchetti HTTP

    Per eseguire l'ispezione approfondita dei pacchetti HTTP, gli amministratori possono configurare le espressioni regolari (regex) per la corrispondenza dei pattern e costruire mappe di classi di ispezione e mappe di criteri di ispezione. Questi metodi possono contribuire a proteggere il sistema da vulnerabilità specifiche, ad esempio quella descritta in questo documento, e da altre minacce che possono essere associate al traffico HTTP. La seguente configurazione di ispezione del protocollo applicativo HTTP controlla il traffico sulle porte TCP 80, 3128, 8000, 8010, 8080, 8888 e 24326, che sono le porte predefinite per la variabile Cisco IPS #WEBPORTS.

    Attenzione: i regex configurati possono corrispondere a stringhe di testo in qualsiasi posizione nel contenuto di un pacchetto HTML. Occorre fare attenzione a non compromettere le applicazioni aziendali legittime che utilizzano stringhe di testo corrispondenti. 
    ! !-- Configure an HTTP application inspection class that !-- looks for HTTP packets that contain the string !-- /bvsmweb that is typically used to exploit !-- this vulnerability ! 
class-map type http inspect match-any vulnerable_http_class
  match content ".*/bvsmweb.*"
! !-- Configure an HTTP application inspection policy that !-- identifies, resets, and logs connections that contain !-- the regex that is configured above !
policy-map type inspect http all-match http_Policy
  class vulnerable_http_class
    reset log
! !-- Configure an access list that matches TCP packets !-- that are destined to the #WEBPORTS variable that is !-- used by a Cisco IPS device !
access-list WEBPORTS line 8 extended permit tcp any any eq www 
access-list WEBPORTS line 16 extended permit tcp any any eq 3128 
access-list WEBPORTS line 24 extended permit tcp any any eq 8000 
access-list WEBPORTS line 32 extended permit tcp any any eq 8010 
access-list WEBPORTS line 40 extended permit tcp any any eq 8080 
access-list WEBPORTS line 48 extended permit tcp any any eq 8888 
access-list WEBPORTS line 56 extended permit tcp any any eq 24326 
! !-- Configure a Layer 4 class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable !
class-map match-all L4_http_class
  match access-list WEBPORTS
! !-- Configure a Layer 4 policy that applies the HTTP application !-- inspection policy configured above to TCP packets that !-- are destined to the ports that are used by the Cisco IPS !-- #WEBPORTS variable !
policy-map multi-match L4_http_Policy
  class L4_http_class
    inspect http policy http_Policy
! !-- Apply the configuration globally across all interfaces, !-- which results in the inspection of all traffic that enters !-- the ACE ! service-policy input L4_http_Policy

    Per informazioni su come utilizzare l'interfaccia della riga di comando ACE per misurare l'efficacia dell'ispezione delle applicazioni, fare riferimento al white paper Cisco Security Intelligence Operations Identification of Malicious Traffic Using Cisco ACE.

    Cisco Intrusion Prevention System

    Mitigazione: tabella delle firme IPS Cisco

    Gli amministratori possono utilizzare gli accessori e i moduli servizi IPS Cisco per rilevare le minacce e contribuire a prevenire i tentativi di sfruttare le vulnerabilità descritte più avanti nel documento. Nella tabella seguente viene fornita una panoramica dell'identificatore CVE e della rispettiva firma IPS Cisco che attiverà eventi su potenziali tentativi di sfruttare questa vulnerabilità.


    ID CVE Release della firma Signature ID Nome firma Attivato Gravità Fedeltà*
    CVE-2014-3300 S809 4462/0 Vulnerabilità della modifica dei dati non autorizzati BVSMWeb di Cisco Unified Communications Domain Manager Media 100


    * Fidelity è anche noto come Signature Fidelity Rating (SFR) ed è la misura relativa della precisione della firma (predefinito). Il valore è compreso tra 0 e 100 ed è impostato da Cisco Systems, Inc.

    Gli amministratori possono configurare i sensori Cisco IPS in modo da eseguire un'azione evento quando viene rilevato un attacco. L'azione evento configurata esegue controlli preventivi o deterrenti per contribuire alla protezione da un attacco che tenta di sfruttare la vulnerabilità elencata nella tabella precedente.

    I sensori Cisco IPS sono più efficaci se installati in modalità di protezione inline combinata con l'uso di un'azione evento. La funzione di prevenzione automatica delle minacce per i sensori Cisco IPS 7.x e 6.x implementati in modalità di protezione inline fornisce una prevenzione delle minacce contro gli attacchi che tentano di sfruttare la vulnerabilità descritta in questo documento. La prevenzione delle minacce viene ottenuta tramite un override predefinito che esegue un'azione evento per le firme attivate con un valore riskRatingValue maggiore di 90.

    Per ulteriori informazioni sul calcolo del rating di rischio e della minaccia, fare riferimento a Rating di rischio e Rating di minaccia: Semplificare la gestione delle policy IPS.

    Per informazioni sull'utilizzo di Cisco Security Manager per visualizzare l'attività da un sensore Cisco IPS, vedere il white paper Identificazione del traffico dannoso con Cisco Security Manager.

    Cisco Web Security Appliance

    Riduzione dei rischi: Web Security

    Le appliance Cisco Web Security (WSA) sono in grado di filtrare e proteggere le reti aziendali da malware e programmi spyware basati sul Web che possono compromettere la sicurezza aziendale ed esporre la proprietà intellettuale. Operano come proxy e possono fornire criteri basati su utenti e gruppi che filtrano determinate categorie di URL, contenuti Web, applicazioni Web (AVC), siti Web basati sulla reputazione Web e malware. WSA può anche rilevare client infetti e impedire ad attività dannose di andare al di fuori della rete aziendale usando L4 Traffic Monitor (L4TM). I criteri possono essere configurati utilizzando un'interfaccia utente grafica Web. è possibile usare anche la CLI. Web Security Appliance include la protezione per i protocolli di comunicazione standard, quali HTTP, HTTPS, FTP e SOCKS.

    Per funzionare con dispositivi di rete quali router e firewall, WSA utilizza il protocollo WCCP (Web Cache Coordination Protocol). Con WCCP, le richieste di contenuti vengono reindirizzate in modo trasparente al WSA, che agisce in base alla sua configurazione, senza che gli utenti configurino un proxy Web nel browser. In Cisco IOS, il protocollo WCCP è abilitato con i comandi ip wccp e nell'appliance ASA Cisco con i comandi wccp.

    Cisco WSA può essere usato per mitigare la vulnerabilità descritta in questo documento filtrando il traffico Web in base agli URL contenenti la seguente stringa "/bvsmweb".

    Per ulteriori informazioni, vedere il documento ASA: WCCP Step-by-Step Configuration in Cisco Support Community e il manuale Cisco IronPort AsyncOS Web User Guide.

    Cisco Cloud Web Security

    Attenuazione: Cloud Web Security

    Cisco Cloud Web Security (CWS) analizza tutte le richieste e le risposte Web per determinare se il contenuto è dannoso, inappropriato o accettabile in base ai criteri di sicurezza definiti. Ciò offre una protezione efficace contro le minacce, incluse le minacce zero-day che altrimenti avrebbero successo. Cisco CWS può fornire policy basate su utenti e gruppi che filtrano determinate categorie di URL, contenuti Web, file e tipi di file, applicazioni Web (AVC), siti Web basati sulla reputazione Web e malware. Può ispezionare sia il traffico HTTP che HTTPS.

    A partire da Cisco IOS 15.2MT su router ISR-G2 e software Cisco ASA versione 9.0, Cisco CWS può integrarsi in modo trasparente con Cisco IOS e Cisco ASA. Inoltre, a partire da AnyConnect 3.0, CWS può essere implementato con il client AnyConnect. CWS può essere implementato anche sugli host terminali come applicazione Cisco Cloud Connector.

    Cisco CWS può essere usato per mitigare la vulnerabilità descritta in questo documento filtrando il traffico Web in base ai campi HTTP contenenti il regex "/bvsmweb".

    Per gli esempi di configurazione, vedere i documenti ASA: Configurazione dettagliata ScanSafe e IOS: Configurazione dettagliata Scansafe nella Cisco Support Community. Per ulteriori informazioni sulla configurazione di IOS e ASA, vedere la guida alla soluzione Cisco ISR Web Security con Cisco ScanSafe e la sezione Configuration Cisco Cloud Web Security della guida alla configurazione di Cisco ASA. Per ulteriori informazioni sul portale CWS, vedere la Guida dell'amministratore di Cisco ScanCenter.

Ulteriori informazioni

  • IL PRESENTE DOCUMENTO VIENE FORNITO "COSÌ COM'È" E NON IMPLICA ALCUNA GARANZIA O CONCESSIONE, INCLUSE LE GARANZIA DI COMMERCIABILITÀ O IDONEITÀ PER UNO SCOPO SPECIFICO. L'UTILIZZO DA PARTE DELL'UTENTE DELLE INFORMAZIONI CONTENUTE NEL DOCUMENTO O NEI MATERIALI ACCESSIBILI DAL DOCUMENTO AVVIENE A PROPRIO RISCHIO. CISCO SI RISERVA IL DIRITTO DI MODIFICARE O AGGIORNARE IL PRESENTE DOCUMENTO IN QUALSIASI MOMENTO.

Argomenti correlati a questo bollettino

Cronologia delle revisioni

  • Version Descrizione Sezione Data
    1 Release iniziale 2014-luglio-02 16:04 GMT
    Mostra meno

Procedure di sicurezza di Cisco

Informazioni correlate

Prodotti interessati

  • La vulnerabilità della sicurezza si applica alle seguenti combinazioni di prodotti.

    Prodotti principali
    Cisco Cisco Unified Communications Domain Manager 8.1 (.1, .2, .3, .4)
    Piattaforma Cisco Unified Communications Domain Manager VOSS platform 4.4 (.1)


    Prodotti associati

Argomenti correlati a questo bollettino