Risposta di Cisco

• Questo bollettino sulla mitigazione applicata è un documento complementare all'advisory della sicurezza PSIRT delle vulnerabilità multiple nel software Cisco IOS XE per router Cisco ASR serie 1000, Cisco ISR serie 4400 e Cisco Cloud Services serie 1000v e fornisce tecniche di identificazione e mitigazione che gli amministratori possono distribuire sui dispositivi di rete Cisco.
  
  Questo documento fornisce le tecniche di identificazione e mitigazione che gli amministratori possono distribuire sui dispositivi di rete Cisco. Le tecniche illustrate nel presente documento si applicano solo a due vulnerabilità per Cisco IOS XE Software Layer 4 Reindirizza la vulnerabilità della negazione del servizio del pacchetto realizzato,
  Vulnerabilità dell'esecuzione di codice remoto dei pacchetti TCP realizzati dal software Cisco IOS XE e vulnerabilità della tabella di flusso comune dei pacchetti realizzati da Cisco IOS XE.

Caratteristiche di vulnerabilità

• Cisco IOS XE presenta diverse vulnerabilità. Le seguenti sottosezioni riepilogano queste vulnerabilità:
  
  Vulnerabilità Packet Denial of Service della tabella di flusso comune del software Cisco IOS XE: questa vulnerabilità può essere sfruttata in remoto senza autenticazione e senza l'interazione dell'utente finale. Se questa vulnerabilità viene sfruttata con successo, è possibile che si verifichi una condizione DoS (Denial of Service). Ripetuti tentativi di sfruttare questa vulnerabilità potrebbero causare una condizione DoS prolungata. Il vettore di attacco per l'utilizzo è tramite pacchetti TCP o UDP su protocollo Internet versione 4 (IPv4) creati. Un utente non autorizzato potrebbe sfruttare questa vulnerabilità utilizzando pacchetti di spoofing.
  
  A questa vulnerabilità è stato assegnato l'identificatore CVE (Common Vulnerabilities and Exposures) CVE-2015-0639.
  
  Vulnerabilità dell'esecuzione di codice remoto dei pacchetti TCP realizzati dal software Cisco IOS XE : questa vulnerabilità può essere sfruttata in remoto senza autenticazione e senza l'interazione dell'utente finale. L'utilizzo riuscito di questa vulnerabilità potrebbe consentire l'esecuzione arbitraria di codice sul sistema interessato o una condizione di negazione del servizio (DoS). Ripetuti tentativi di sfruttare questa vulnerabilità potrebbero causare una condizione DoS prolungata. Il vettore di attacco per lo sfruttamento è attraverso pacchetti TCP creati.
  
  A questa vulnerabilità è stato assegnato l'identificatore CVE (Common Vulnerabilities and Exposures) CVE-2015-0644.
  
  Vulnerabilità della negazione del servizio del pacchetto realizzato dal reindirizzamento del software di layer 4 di Cisco IOS XE: questa vulnerabilità può essere sfruttata in remoto senza autenticazione e senza interazione dell'utente finale. Se questa vulnerabilità viene sfruttata con successo, è possibile che si verifichi una condizione DoS (Denial of Service). Ripetuti tentativi di sfruttare questa vulnerabilità potrebbero causare una condizione DoS prolungata. Il vettore di attacco per lo sfruttamento è attraverso pacchetti TCP creati.
  
  A questa vulnerabilità è stato assegnato l'ID CVE (Common Vulnerabilities and Exposures) CVE-2015-0645.

Panoramica delle vulnerabilità

• Le informazioni sul software vulnerabile, non interessato e fisso sono disponibili in Cisco Security Advisory, al seguente collegamento: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150325-iosxe.

Panoramica delle tecniche di mitigazione

• I dispositivi Cisco forniscono diverse contromisure per questa vulnerabilità. Si consiglia agli amministratori di considerare questi metodi di protezione come best practice generali per la sicurezza dei dispositivi dell'infrastruttura e del traffico che attraversa la rete. In questa sezione del documento viene fornita una panoramica di queste tecniche.
  
  Il software Cisco IOS può fornire mezzi efficaci di prevenzione degli attacchi utilizzando i seguenti metodi:
  

  • IOS Zone-Based e User-Based Firewall
  • uRPF (Unicast Reverse Path Forwarding)
  • IPSG (IP Source Guard)

  
  Questi meccanismi di protezione filtrano e rilasciano, oltre a verificare l'indirizzo IP di origine dei pacchetti che stanno tentando di sfruttare queste vulnerabilità.
  
  L'installazione e la configurazione corrette di uRPF forniscono un mezzo efficace di protezione dagli attacchi che utilizzano pacchetti con indirizzi IP di origine oggetto di spoofing. uRPF deve essere distribuito il più vicino possibile a tutte le origini di traffico.
  
  La corretta installazione e configurazione di IPSG fornisce un mezzo efficace di protezione dagli attacchi di spoofing a livello di accesso.
  
  Mezzi efficaci per prevenire gli attacchi possono essere forniti anche da Cisco ASA serie 5500 e 5500-X Adaptive Security Appliance, Cisco Catalyst serie 6500 ASA Services Module (ASASM) e Firewall Services Module (FWSM) per gli switch Cisco Catalyst serie 6500 e i router Cisco serie 7600, usando quanto segue:
  

  • uRPF
  • normalizzazione TCP

  
  Questi meccanismi di protezione filtrano e rilasciano, oltre a verificare l'indirizzo IP di origine dei pacchetti che stanno tentando di sfruttare queste vulnerabilità.
  
  L'appliance e il modulo Cisco ACE Application Control Engine possono inoltre fornire mezzi efficaci di prevenzione degli attacchi tramite la normalizzazione TCP.
  
  Questo meccanismo di protezione filtra e scarta i pacchetti che stanno tentando di sfruttare una delle vulnerabilità.
  
  L'uso efficace delle azioni evento di Cisco Intrusion Prevention System (IPS) offre visibilità e protezione dagli attacchi che tentano di sfruttare questa vulnerabilità.
  

Gestione dei rischi

• Le organizzazioni sono invitate a seguire i processi standard di valutazione e mitigazione dei rischi per determinare l'impatto potenziale di queste vulnerabilità. Triage si riferisce all'ordinamento dei progetti e all'assegnazione delle priorità agli sforzi che hanno maggiori probabilità di avere successo. Cisco ha fornito documenti che possono aiutare le organizzazioni a sviluppare una funzionalità di triage basata sui rischi per i team addetti alla sicurezza delle informazioni. Valutazione dei rischi per la vulnerabilità della sicurezza Gli annunci e la valutazione dei rischi e la creazione di prototipi possono aiutare le organizzazioni a sviluppare processi ripetibili di valutazione della sicurezza e di risposta.

Mitigazione e identificazione specifiche del dispositivo

• Attenzione: l'efficacia di qualsiasi tecnica di mitigazione dipende dalle situazioni specifiche del cliente, ad esempio il mix di prodotti, la topologia di rete, il comportamento del traffico e la missione dell'organizzazione. Come per qualsiasi modifica apportata alla configurazione, valutare l'impatto della configurazione prima di applicare la modifica.
  
  Per questi dispositivi sono disponibili informazioni specifiche sulla mitigazione e l'identificazione:
  

  • Router e switch Cisco IOS
  • Cisco ASA, Cisco ASASM e Cisco FWSM Firewall
  • Cisco ACE
  • Cisco Intrusion Prevention System

  Router e switch Cisco IOS

  Per impostazione predefinita, il software Cisco IOS esegue vari controlli dei pacchetti per il traffico di transito. Ad esempio, verifica la correttezza dell'intestazione IP di un pacchetto. Per impostazione predefinita, un dispositivo Cisco IOS che elabora attivamente il traffico identifica e scarta i pacchetti creati che tentano di sfruttare CVE-2015-0645. La protezione dai pacchetti che potrebbero sfruttare questa vulnerabilità è un'azione non configurabile: per abilitare questa funzionalità non sono necessarie modifiche alla configurazione.

  Attenuazione: firewall basato su zona IOS e basato su utente

  A partire dal software Cisco IOS versione 12.4(6)T, ZFW (Zone-Based Policy Firewall) ha sostituito Cisco IOS Context-Based Access Control (CBAC). Garantisce la granularità dell'applicazione dei criteri firewall e un criterio di negazione totale predefinito che impedisce il traffico tra le aree di protezione del firewall fino a quando non viene applicato un criterio esplicito per consentire il traffico desiderato.
  
  In Cisco IOS ZFW, le zone stabiliscono i bordi di sicurezza della rete. Una zona definisce un limite in cui il traffico è soggetto a restrizioni dei criteri mentre attraversa un'altra area della rete. Il criterio predefinito ZFW tra le zone è quello di negare tutto il traffico. Se non viene configurato alcun criterio in modo esplicito, tutto il traffico che tenta di spostarsi tra le zone verrà bloccato. ZFW utilizza un linguaggio dei criteri di configurazione noto come Cisco Policy Language (CPL). Gli utenti che conoscono MQC (Modular quality-of-service) del software Cisco IOS potrebbero riconoscere che il formato è simile al modo in cui le mappe delle classi vengono utilizzate in una configurazione QoS per specificare il traffico su cui influirà l'azione applicata in una mappa dei criteri. Cisco IOS ZFW supporta le ispezioni IPv4 e IPv6 di layer 4 con conservazione dello stato e può anche fornire ispezione specifica dell'applicazione, failover del firewall con conservazione dello stato, proxy di autenticazione, mitigazione dei DoS (Denial of Service), filtro URL e altro ancora.
  
  Cisco IOS ZFW identifica e scarta i pacchetti che tentano di sfruttare CVE-2015-0639.
  
  Per gli esempi di configurazione, fare riferimento ai documenti IOS ZBF Set-by-Step Configuration e IPv6 Zone Based Firewall (ZFW) in Cisco Support Community e Cisco Configuration Professional: Zone-Based Firewall Blocking Peer to Peer Traffic Configuration Example. Per ulteriori informazioni su Cisco IOS ZBF, fare riferimento alla guida alla progettazione e all'applicazione di firewall per le policy basate su zone.
  
  Introdotta nel software Cisco IOS versione 12.4(20)T, la funzione User-Based Firewall di IOS può fornire sicurezza basata sull'identità o sul gruppo di utenti, che fornisce accesso differenziato a diverse classi di utenti. La classificazione può essere effettuata in base all'identità dell'utente, al tipo di dispositivo (ad esempio, telefoni IP), alla posizione (ad esempio, edificio) e al ruolo (ad esempio, tecnico).
  
  Le policy di Cisco IOS Firewall che bloccano l'accesso ai protocolli e alle porte o le applicazioni di filtro possono essere configurate per singolo utente o gruppo di utenti utilizzando la funzione User Based Firewall.
  
  Per ulteriori informazioni su Cisco User-Based Firewall, consultare la guida al supporto dei firewall basati sull'utente e le informazioni sulle funzionalità per il supporto dei firewall basati sull'utente.

  Attenuazione: protezione da spoofing

  Inoltro percorso inverso unicast
  
  CVE-2015-0645 descritto in questo documento può essere utilizzato da pacchetti IP oggetto di spoofing. Gli amministratori possono distribuire e configurare Unicast Reverse Path Forwarding (uRPF) come meccanismo di protezione contro lo spoofing.
  
  uRPF è configurato a livello di interfaccia ed è in grado di rilevare ed eliminare pacchetti che non dispongono di un indirizzo IP di origine verificabile. Gli amministratori non devono affidarsi a uRPF per fornire una protezione completa dallo spoofing, in quanto i pacchetti oggetto di spoofing possono entrare nella rete tramite un'interfaccia abilitata a uRPF se esiste una route di ritorno appropriata all'indirizzo IP di origine. Si consiglia agli amministratori di assicurarsi che durante la distribuzione di questa funzionalità sia configurata la modalità uRPF appropriata (libera o rigida), in quanto può bloccare il traffico legittimo che attraversa la rete. In un ambiente aziendale, è possibile abilitare uRPF sul perimetro Internet e sul livello di accesso interno sulle interfacce di layer 3 supportate dall'utente.
  
  Per ulteriori informazioni sulla configurazione e l'utilizzo di uRPF, consultare il white paper Understanding Unicast Reverse Path Forwarding (informazioni in lingua inglese) sulle operazioni Cisco Security Intelligence.
  
  Protezione origine IP
  
  IPSG (IP Source Guard) è una funzione di sicurezza che limita il traffico IP su interfacce di livello 2 non instradate filtrando i pacchetti in base al database di binding dello snooping DHCP e ai binding di origine IP configurati manualmente. Gli amministratori possono utilizzare il protocollo IPSG per prevenire gli attacchi degli utenti non autorizzati che tentano di falsificare i pacchetti falsificando l'indirizzo IP di origine e/o l'indirizzo MAC. Se correttamente implementato e configurato, IPSG, insieme a uRPF in modalità rigorosa, fornisce i mezzi più efficaci di protezione dallo spoofing per CVE-2015-0645 descritti in questo documento.
  
  Per ulteriori informazioni sulla distribuzione e la configurazione di IPSG, consultare il documento sulla configurazione delle funzionalità DHCP e di IP Source Guard.
  
  Per informazioni su come utilizzare l'interfaccia della riga di comando di IOS per misurare l'efficacia della protezione dallo spoofing, consultare il white paper Cisco Security Intelligence Operations Identifying the Effective of Security Mitigations Using Cisco IOS Software.

  Cisco ASA, Cisco ASASM e Cisco FWSM Firewall

  Il software Cisco ASA esegue diversi controlli dei pacchetti per il traffico di transito per impostazione predefinita. Ad esempio, verifica la correttezza dell'intestazione IP di un pacchetto. Per impostazione predefinita, un'appliance Cisco ASA che ispeziona attivamente il traffico identifica e scarta il pacchetto creato che tenta di sfruttare il protocollo CVE-2015-0645. La protezione dai pacchetti che potrebbero sfruttare questa vulnerabilità è un'azione non configurabile: per abilitare questa funzionalità non sono necessarie modifiche alla configurazione.

  Attenuazione: protezione da spoofing con inoltro percorso inverso unicast

  CVE-2015-0645 descritto in questo documento può essere utilizzato da pacchetti IP oggetto di spoofing. Gli amministratori possono installare e configurare uRPF come meccanismo di protezione contro lo spoofing.
  
  uRPF è configurato a livello di interfaccia ed è in grado di rilevare ed eliminare pacchetti che non dispongono di un indirizzo IP di origine verificabile. Gli amministratori non devono affidarsi a uRPF per fornire una protezione completa dallo spoofing, in quanto i pacchetti oggetto di spoofing possono entrare nella rete tramite un'interfaccia abilitata a uRPF se esiste una route di ritorno appropriata all'indirizzo IP di origine. In un ambiente aziendale, è possibile abilitare uRPF sul perimetro Internet e sul livello di accesso interno sulle interfacce di layer 3 supportate dall'utente.
  
  Per ulteriori informazioni sulla configurazione e l'utilizzo di uRPF, consultare la guida di riferimento dei comandi di Cisco Security Appliance per ip verify reverse-path e il white paper Understanding Unicast Reverse Path Forwarding Cisco Security Intelligence Operations.
  
  Per informazioni su come utilizzare l'interfaccia della riga di comando del firewall per misurare l'efficacia della protezione dallo spoofing, fare riferimento al white paper Cisco Security Intelligence Operations Identification of Security Exploits with Cisco ASA, Cisco ASASM e Cisco FWSM Firewall.

  Attenuazione: normalizzazione TCP

  La funzione di normalizzazione TCP identifica i pacchetti anomali sui quali l'appliance di sicurezza può intervenire quando vengono rilevati; ad esempio, l'appliance di sicurezza può consentire, eliminare o cancellare i pacchetti. Il normalizzatore TCP include azioni non configurabili e azioni configurabili. In genere, le azioni non configurabili che interrompono o cancellano le connessioni si applicano ai pacchetti considerati dannosi. La normalizzazione TCP è disponibile a partire dal software versione 7.0(1) per l'appliance Cisco ASA 5500 Series Adaptive Security, dalla versione 8.5 per il modulo servizi ASA Cisco Catalyst serie 6500 e dalla versione 3.1(1) per il modulo servizi Cisco Firewall.
  
  La normalizzazione TCP è abilitata per impostazione predefinita e scarta i pacchetti che possono sfruttare CVE-2015-0639. La protezione dai pacchetti che potrebbero sfruttare questa vulnerabilità è un'azione di normalizzazione TCP non configurabile: non sono necessarie modifiche alla configurazione per abilitare questa funzionalità.
  
  Per ulteriori informazioni sulla normalizzazione TCP, vedere la sezione Connection limits and Timeout in Book 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.2.
  
  Per informazioni su come utilizzare l'interfaccia della riga di comando (CLI) del firewall per misurare l'efficacia della normalizzazione TCP, vedere il white paper Cisco Security Intelligence Operations Identification of Security Exploits with Cisco ASA, Cisco ASASM e Cisco FWSM Firewall.

  Cisco ACE

  Attenuazione: normalizzazione TCP

  La normalizzazione TCP è una funzionalità di layer 4 costituita da una serie di controlli che Cisco ACE esegue nelle varie fasi di un flusso, a partire dall'impostazione iniziale della connessione fino alla chiusura di una connessione. Molti controlli dei segmenti possono essere controllati o modificati configurando una o più impostazioni di connessione TCP avanzate. Cisco ACE utilizza queste impostazioni di connessione TCP per decidere quali controlli eseguire e se eliminare un segmento TCP in base ai risultati dei controlli. Cisco ACE elimina i segmenti che appaiono anormali o in formato non corretto.
  
  La normalizzazione TCP è abilitata per impostazione predefinita e scarta i pacchetti che possono sfruttare CVE-2015-0639. La protezione dai pacchetti che potrebbero sfruttare questa vulnerabilità è un'azione di normalizzazione TCP non configurabile; per abilitare questa funzionalità non sono necessarie modifiche alla configurazione.
  
  Per ulteriori informazioni sulla normalizzazione TCP, vedere la sezione Configurazione della normalizzazione TCP/IP e dei parametri di riassemblaggio IP in Security Guide v5(1.0), Cisco ACE Application Control Engine.
  
  

  Cisco Intrusion Prevention System

  Mitigazione: tabella delle firme IPS Cisco

  Gli amministratori possono utilizzare gli accessori e i moduli servizi IPS Cisco per rilevare le minacce e contribuire a prevenire i tentativi di sfruttare alcune delle vulnerabilità descritte più avanti nel documento. Nella tabella seguente viene fornita una panoramica degli identificatori CVE e delle rispettive firme IPS Cisco che attiveranno eventi su potenziali tentativi di sfruttare questa vulnerabilità.
  
  

  ID CVE	Release della firma	Signature ID	Nome firma	Attivato	Gravità	Fedeltà*
  CVE-2015-0644	S858	5094/0	Cisco IOS XE Software Denial of Service	Sì	Media	85

  
  
  * Fidelity è anche noto come Signature Fidelity Rating (SFR) ed è la misura relativa della precisione della firma (predefinito). Il valore è compreso tra 0 e 100 ed è impostato da Cisco Systems, Inc.
  
  Gli amministratori possono configurare i sensori Cisco IPS in modo da eseguire un'azione evento quando viene rilevato un attacco. L'azione evento configurata esegue controlli preventivi o deterrenti per contribuire alla protezione da un attacco che tenta di sfruttare le vulnerabilità elencate nella tabella precedente.
  
  Gli attacchi che utilizzano indirizzi IP oggetto di spoofing possono causare un'azione evento configurata per negare inavvertitamente il traffico proveniente da fonti attendibili.
  
  I sensori Cisco IPS sono più efficaci se installati in modalità di protezione inline combinata con l'uso di un'azione evento. La funzione di prevenzione automatica delle minacce per i sensori Cisco IPS 7.x e 6.x implementati in modalità di protezione inline fornisce una prevenzione delle minacce contro gli attacchi che tentano di sfruttare la vulnerabilità descritta in questo documento. La prevenzione delle minacce viene ottenuta tramite un override predefinito che esegue un'azione evento per le firme attivate con un valore riskRatingValue maggiore di 90.
  
  Per ulteriori informazioni sul calcolo del rating di rischio e della minaccia, fare riferimento a Rating di rischio e Rating di minaccia: Semplificare la gestione delle policy IPS.
  
  Per informazioni sull'utilizzo di Cisco Security Manager per visualizzare l'attività da un sensore Cisco IPS, vedere il white paper Identificazione del traffico dannoso con Cisco Security Manager.
  

Ulteriori informazioni

• IL PRESENTE DOCUMENTO VIENE FORNITO "COSÌ COM'È" E NON IMPLICA ALCUNA GARANZIA O CONCESSIONE, INCLUSE LE GARANZIA DI COMMERCIABILITÀ O IDONEITÀ PER UNO SCOPO SPECIFICO. L'UTILIZZO DA PARTE DELL'UTENTE DELLE INFORMAZIONI CONTENUTE NEL DOCUMENTO O NEI MATERIALI ACCESSIBILI DAL DOCUMENTO AVVIENE A PROPRIO RISCHIO. CISCO SI RISERVA IL DIRITTO DI MODIFICARE O AGGIORNARE IL PRESENTE DOCUMENTO IN QUALSIASI MOMENTO.

Cronologia delle revisioni

• Version	Descrizione	Sezione	Data
  1	Release iniziale		2015-25-Marzo 16:01 GMT

  Mostra meno

Procedure di sicurezza di Cisco

• Le informazioni complete sulla segnalazione delle vulnerabilità della sicurezza nei prodotti Cisco, su come ottenere assistenza in caso di incidenti relativi alla sicurezza e su come registrarsi per ricevere informazioni sulla sicurezza da Cisco, sono disponibili sul sito Web di Cisco all'indirizzo https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Ciò include istruzioni per le richieste della stampa relative agli avvisi di sicurezza Cisco. Tutti gli avvisi sulla sicurezza Cisco sono disponibili all'indirizzo http://www.cisco.com/go/psirt.

Informazioni correlate

• • Bollettini sulla mitigazione applicata da Cisco
  • Cisco Security Portal
  • Servizio Cisco Security IntelliShield Alert Manager
  • Guida Cisco per fortificare i dispositivi Cisco IOS
  • Identificazione e mitigazione degli attacchi TTL in scadenza
  • Guida alla progettazione e all'applicazione di firewall per i criteri basati su zone
  • Prodotti Cisco Firewall - Home Page su Cisco.com
  • Cisco Catalyst serie 6500 ASA Services Module
  • Cisco 5500-X
  • Documentazione del modulo Cisco ACE Application Control Engine
  • Miglioramenti unicast Reverse Path Forwarding per il provider di servizi Internet
  • Cisco Intrusion Prevention System
  • Sourcefire Sicurezza Di Nuova Generazione
  • Pagina di ricerca delle firme IPS Cisco
  • Vulnerabilità ed esposizioni comuni (CVE)
  • Iscriviti ai bollettini sulla mitigazione applicata di Cisco

Prodotti interessati

• La vulnerabilità della sicurezza si applica alle seguenti combinazioni di prodotti.
  
  

  Prodotti principali
  Cisco	Software Cisco IOS XE	3.1S (3.1.0S, 3.1.1S, 3.1.2S, 3.1.3S, 3.1.4S, 3.1.5S, 3.1.6S) | 3.2S (3.2.0S, 3.2.1S, 3.2.2S, 3.2.3S) | 3.3S (3.3.0S, 3.3.1S, 3.3.2S) | 3.4 S (3.4.0S, 3.4.1S, 3.4.2S, 3.4.3S, 3.4.4S, 3.4.5S, 3.4.6S) | 3.5S (Base, 3.5.0S, 3.5.1S, 3.5.2S) | 3.6S (Base, 3.6.0S, 3.6.1S, 3.6.2S) | 3.7 S (Base, 3.7.0S, 3.7.1S, 3.7.2S, 3.7.3S, 3.7.4S, 3.7.5S, 3.7.6S, 3.7.7S) | 3.8S (Base, 3.8.0S, 3.8.1S) | 3,9 S (3,9 S, 3,9,1 S) | 3,10 S (3,10,0 aS)

  
  
  

  Prodotti associati