Risposta di Cisco

• Questo bollettino sulla mitigazione applicata è un documento complementare al PSIRT Security Advisory Multiple Vulnerabilities in Cisco TelePresence Video Communication Server, Cisco Expressway e Cisco TelePresence Conductor. Questo documento fornisce le tecniche di identificazione e mitigazione che gli amministratori possono distribuire sui dispositivi di rete Cisco per la Vulnerabilità Denial of Service di Descrizione dei supporti SDP.

Caratteristiche di vulnerabilità

• La descrizione dei supporti Cisco SDP, un componente del server di comunicazione video Cisco TelePresence, contiene una vulnerabilità nell'elaborazione di pacchetti IP versione 4 (IPv4) e IP versione 6 (IPv6) del protocollo IP di avvio di sessione appositamente creati. Questa vulnerabilità può essere sfruttata in remoto senza autenticazione e senza l'interazione dell'utente finale. Se la vulnerabilità viene sfruttata con successo, il dispositivo interessato potrebbe bloccarsi. Ripetuti tentativi di sfruttare questa vulnerabilità potrebbero causare una condizione DoS prolungata.
  
  I vettori di attacco per lo sfruttamento sono il protocollo SIP (Session Initiation Protocol) che utilizza le porte TCP 5060 e 5061 e la porta UDP 5060.
  
  A questa vulnerabilità è stato assegnato l'identificatore CVE (Common Vulnerabilities and Exposures) CVE-2015-0652.

Panoramica delle vulnerabilità

• Le informazioni sul software vulnerabile, non interessato e fisso sono disponibili in Cisco Security Advisory, al seguente collegamento:
  https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150311-vcs.

Panoramica delle tecniche di mitigazione

• I dispositivi Cisco forniscono diverse contromisure per questa vulnerabilità. Si consiglia agli amministratori di considerare questi metodi di protezione come best practice generali per la sicurezza dei dispositivi dell'infrastruttura e del traffico che attraversa la rete. In questa sezione del documento viene fornita una panoramica di queste tecniche.
  
  Il software Cisco IOS può fornire mezzi efficaci di prevenzione degli attacchi utilizzando i seguenti metodi:
  

  • Access Control List (tACL) transit
  • uRPF (Unicast Reverse Path Forwarding)
  • IPSG (IP Source Guard)

  
  Questi meccanismi di protezione filtrano e rilasciano, oltre a verificare l'indirizzo IP di origine dei pacchetti che stanno tentando di sfruttare questa vulnerabilità.
  
  L'installazione e la configurazione corrette di uRPF forniscono un mezzo efficace di protezione dagli attacchi che utilizzano pacchetti con indirizzi IP di origine oggetto di spoofing. uRPF deve essere distribuito il più vicino possibile a tutte le origini di traffico.
  
  La corretta installazione e configurazione di IPSG fornisce un mezzo efficace di protezione dagli attacchi di spoofing a livello di accesso.
  
  Mezzi efficaci per prevenire gli attacchi possono essere forniti anche da Cisco ASA serie 5500 e 5500-X Adaptive Security Appliance, Cisco Catalyst serie 6500 ASA Services Module (ASASM) e Firewall Services Module (FWSM) per gli switch Cisco Catalyst serie 6500 e i router Cisco serie 7600, usando quanto segue:
  

  • tACL Access Control List (tACL) transit
  • uRPF Unicast Reverse Path Forwarding (uRPF)

  
  Questi meccanismi di protezione filtrano e rilasciano, oltre a verificare l'indirizzo IP di origine dei pacchetti che stanno tentando di sfruttare questa vulnerabilità.

Gestione dei rischi

• Le organizzazioni sono invitate a seguire i processi standard di valutazione e mitigazione dei rischi per determinare l'impatto potenziale di questa vulnerabilità. Triage si riferisce all'ordinamento dei progetti e all'assegnazione delle priorità agli sforzi che hanno maggiori probabilità di avere successo. Cisco ha fornito documenti che possono aiutare le organizzazioni a sviluppare una funzionalità di triage basata sui rischi per i team addetti alla sicurezza delle informazioni. Valutazione dei rischi per la vulnerabilità della sicurezza Gli annunci e la valutazione dei rischi e la creazione di prototipi possono aiutare le organizzazioni a sviluppare processi ripetibili di valutazione della sicurezza e di risposta.

Mitigazione e identificazione specifiche del dispositivo

• Attenzione: l'efficacia di qualsiasi tecnica di mitigazione dipende dalle situazioni specifiche del cliente, ad esempio il mix di prodotti, la topologia di rete, il comportamento del traffico e la missione dell'organizzazione. Come per qualsiasi modifica apportata alla configurazione, valutare l'impatto della configurazione prima di applicare la modifica.
  
  Per questi dispositivi sono disponibili informazioni specifiche sulla mitigazione e l'identificazione:
  

  • Router e switch Cisco IOS
  • Cisco ASA, Cisco ASASM e Cisco FWSM Firewall

  
  

  Router e switch Cisco IOS

  Attenuazione: Access Control List transit

  Per proteggere la rete dal traffico che entra nei punti di accesso in entrata, che possono includere punti di connessione Internet, punti di connessione fornitori e partner o punti di connessione VPN, si consiglia agli amministratori di distribuire elenchi di controllo di accesso in transito (tACL) per applicare le policy. Gli amministratori possono costruire un ACL autorizzando esplicitamente solo il traffico autorizzato ad accedere alla rete dai punti di accesso in entrata o autorizzando il traffico autorizzato a transitare sulla rete in base alle configurazioni e ai criteri di sicurezza esistenti. La soluzione tACL non è in grado di fornire una protezione completa da questa vulnerabilità quando l'attacco proviene da un indirizzo di origine attendibile. Il criterio ACL nega l'invio di pacchetti IPv4 e IPv6 non autorizzati ai dispositivi interessati. Nell'esempio seguente, 192.168.60.0/24and 2001:DB8:1:60::/64 rappresenta lo spazio di indirizzi IP utilizzato dai dispositivi interessati. È necessario prestare attenzione a consentire il traffico richiesto per il routing e l'accesso amministrativo prima di rifiutare tutto il traffico non autorizzato. Per ulteriori informazioni sugli ACL, consultare il documento Access Control Lists: Filtering at Your Edge (Liste di controllo dell'accesso in transito: filtraggio sul perimetro della rete).

  ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports !
  ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks !
  ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic !
  access-list 150 deny ip any any
  !
  ! !-- Create the corresponding IPv6 tACL !
  ipv6  access-list IPv6-Transit-ACL-Policy
  ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports !
  ! !-- The following vulnerability-specific ACEs can !-- aid in identification of attacks to global and !-- link-local addresses !
  ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and configurations !-- and allow IPv6 neighbor discovery packets, which !-- include neighbor solicitation packets and neighbor !-- advertisement packets !
    permit icmp any any nd-ns
    permit icmp any any nd-na
  ! !-- Explicit deny for all other IPv6 traffic !
    deny ipv6 any any
  ! ! !-- Apply tACLs to interface in the ingress direction !
  interface GigabitEthernet0/0
   ip access-group 150 in 
   ipv6 traffic-filter IPv6-Transit-ACL-Policy in 

  L'applicazione di un filtro con un elenco degli accessi all'interfaccia determinerà la trasmissione di messaggi ICMP "destinazione irraggiungibile" alla sorgente del traffico filtrato. La generazione di questi messaggi potrebbe avere l'effetto indesiderato di aumentare l'utilizzo della CPU sul dispositivo. Per impostazione predefinita, nel software Cisco IOS la generazione di pacchetti ICMP "destinazione irraggiungibile" è limitata a un pacchetto ogni 500 millisecondi. La generazione di messaggi ICMP "destinazione irraggiungibile" può essere disabilitata utilizzando i comandi di configurazione dell'interfaccia no ip unreachables e no ipv6 unreachables. La limitazione della velocità non raggiungibile ICMP può essere modificata rispetto all'impostazione predefinita utilizzando i comandi di configurazione globale ip icmp rate-limit unreachable interval-in-mand ipv6 icmp error-interval-in-ms.

  Per informazioni su come usare l'interfaccia della riga di comando Cisco IOS per misurare l'efficacia dell'ACL, consultare il white paper Cisco Security Identifying the Effective of Security Mitigations Using Cisco IOS Software.

  Attenuazione: protezione da spoofing

  Inoltro percorso inverso unicast

  La vulnerabilità descritta in questo documento può essere sfruttata da pacchetti IP oggetto di spoofing. Gli amministratori possono distribuire e configurare Unicast Reverse Path Forwarding (uRPF) come meccanismo di protezione contro lo spoofing.

  uRPF è configurato a livello di interfaccia ed è in grado di rilevare ed eliminare pacchetti che non dispongono di un indirizzo IP di origine verificabile. Gli amministratori non devono affidarsi a uRPF per fornire una protezione completa dallo spoofing, in quanto i pacchetti oggetto di spoofing possono entrare nella rete tramite un'interfaccia abilitata a uRPF se esiste una route di ritorno appropriata all'indirizzo IP di origine. Si consiglia agli amministratori di assicurarsi che durante la distribuzione di questa funzionalità sia configurata la modalità uRPF appropriata (libera o rigida), in quanto può bloccare il traffico legittimo che attraversa la rete. In un ambiente aziendale, è possibile abilitare uRPF sul perimetro Internet e sul livello di accesso interno sulle interfacce di layer 3 supportate dall'utente.

  Per ulteriori informazioni sulla configurazione e l'utilizzo di uRPF, consultare il white paper Understanding Unicast Reverse Path Forwarding (informazioni in lingua inglese) sulle operazioni Cisco Security Intelligence.

  Protezione origine IP

  IPSG (IP Source Guard) è una funzione di sicurezza che limita il traffico IP su interfacce di livello 2 non instradate filtrando i pacchetti in base al database di binding dello snooping DHCP e ai binding di origine IP configurati manualmente. Gli amministratori possono utilizzare il protocollo IPSG per prevenire gli attacchi degli utenti non autorizzati che tentano di falsificare i pacchetti falsificando l'indirizzo IP di origine e/o l'indirizzo MAC. Se correttamente implementato e configurato, IPSG, insieme a uRPF in modalità rigorosa, fornisce i mezzi più efficaci per la protezione da spoofing per la vulnerabilità descritta in questo documento.

  Per ulteriori informazioni sulla distribuzione e la configurazione di IPSG, consultare il documento sulla configurazione delle funzionalità DHCP e di IP Source Guard.

  
  

  Cisco ASA, Cisco ASASM e Cisco FWSM Firewall

  Attenuazione: Access Control List transit

  Per proteggere la rete dal traffico che entra nei punti di accesso in entrata, che possono includere punti di connessione Internet, punti di connessione fornitori e partner o punti di connessione VPN, si consiglia agli amministratori di distribuire gli ACL per applicare la policy. Gli amministratori possono costruire un ACL autorizzando esplicitamente solo il traffico autorizzato ad accedere alla rete dai punti di accesso in entrata o autorizzando il traffico autorizzato a transitare sulla rete in base alle configurazioni e ai criteri di sicurezza esistenti. La soluzione tACL non è in grado di fornire una protezione completa da questa vulnerabilità quando l'attacco proviene da un indirizzo di origine attendibile.

  Il criterio ACL nega l'invio ai dispositivi interessati di pacchetti IPv4 e IPv6 non autorizzati sulle porte TCP 5060 e 5061 e sulla porta UDP 5060. Nell'esempio seguente, 192.168.60.0/24 e 2001:DB8:1:60::/64 rappresentano lo spazio di indirizzi IP utilizzato dai dispositivi interessati e gli host in modalità 192.168.100.1 e 2001:DB8::100:1 sono considerati fonti attendibili che richiedono l'accesso ai dispositivi interessati. È necessario prestare attenzione a consentire il traffico richiesto per il routing e l'accesso amministrativo prima di rifiutare tutto il traffico non autorizzato.

  Per ulteriori informazioni sugli ACL, vedere Access Control List transit: Filtering at Your Edge.

   ! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable TCP and UDP ports !
    access-list tACL-Policy extended permit tcp host 192.168.100.1 
       192.168.60.0 255.255.255.0 eq 5060
    access-list tACL-Policy extended permit tcp host 192.168.100.1 
       192.168.60.0 255.255.255.0 eq 5061
    access-list tACL-Policy extended permit udp host 192.168.100.1 
       192.168.60.0 255.255.255.0 eq 5060
   ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks !
    access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 5060
    access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 5061
    access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 eq 5060
   ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic !
    access-list tACL-Policy extended deny ip any 192.168.60.0 255.255.255.0
   !
  ! !-- Create the corresponding IPv6 tACL !
   ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP and UDP ports !
    ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 
       2001:DB8:1:60::/64 eq 5060
    ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 
       2001:DB8:1:60::/64 eq 5061
    ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1 
       2001:DB8:1:60::/64 eq 5060
   ! !-- The following vulnerability-specific ACEs can !-- aid in identification of attacks !
    ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:DB8:1:60::/64 eq 5060
    ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:DB8:1:60::/64 eq 5061
    ipv6 access-list IPv6-tACL-Policy deny udp any 2001:DB8:1:60::/64 eq 5060
   ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and configurations !
   ! !-- Explicit deny for all other IPv6 traffic !
    ipv6 access-list IPv6-tACL-Policy deny ip any any
   ! ! !-- Apply tACLs to interfaces in the ingress direction !
    access-group tACL-Policy in interface outside
    access-group IPv6-tACL-Policy in interface outside

  Per informazioni sull'uso dell'interfaccia della riga di comando di Cisco firewall per misurare l'efficacia degli ACL, consultare il white paper Cisco Security Intelligence Operations Identification of Security Exploits with Cisco ASA, Cisco ASASM e Cisco FWSM Firewall.

  A partire dal software Cisco ASA versione 9.0, gli ACL (ossia ACL unificati) supportano gli indirizzi IPv4 e IPv6. È possibile specificare una combinazione di indirizzi IPv4 e IPv6 per l'origine e la destinazione dell'ACL. Le parole chiave any4 e any6 sono state aggiunte per rappresentare rispettivamente il traffico solo IPv4 e il traffico solo IPv6.

  Le voci dell'elenco degli accessi IPv4 e IPv6 (ACE) presentate negli ACL IPv4 e IPv6 di questa sezione possono essere incorporate anche in un ACL unificato.

  Per ulteriori informazioni sugli ACL unificati, consultare la sezione Aggiunta di un elenco degli accessi estesi nella guida alla configurazione di Cisco ASA.

  Attenuazione: protezione da spoofing con inoltro percorso inverso unicast

  La vulnerabilità descritta in questo documento può essere sfruttata da pacchetti IP oggetto di spoofing. Gli amministratori possono installare e configurare uRPF come meccanismo di protezione contro lo spoofing.

  uRPF è configurato a livello di interfaccia ed è in grado di rilevare ed eliminare pacchetti che non dispongono di un indirizzo IP di origine verificabile. Gli amministratori non devono affidarsi a uRPF per fornire una protezione completa dallo spoofing, in quanto i pacchetti oggetto di spoofing possono entrare nella rete tramite un'interfaccia abilitata a uRPF se esiste una route di ritorno appropriata all'indirizzo IP di origine. In un ambiente aziendale, è possibile abilitare uRPF sul perimetro Internet e sul livello di accesso interno sulle interfacce di layer 3 supportate dall'utente.

  Per ulteriori informazioni sulla configurazione e l'utilizzo di uRPF, consultare la guida di riferimento dei comandi di Cisco Security Appliance per ip verify reverse-path e il white paper Understanding Unicast Reverse Path Forwarding Cisco Security Intelligence Operations.

  Per informazioni su come utilizzare l'interfaccia della riga di comando del firewall per misurare l'efficacia della protezione dallo spoofing, fare riferimento al white paper Cisco Security Intelligence Operations Identification of Security Exploits with Cisco ASA, Cisco ASASM e Cisco FWSM Firewall.

Ulteriori informazioni

• IL PRESENTE DOCUMENTO VIENE FORNITO "COSÌ COM'È" E NON IMPLICA ALCUNA GARANZIA O CONCESSIONE, INCLUSE LE GARANZIA DI COMMERCIABILITÀ O IDONEITÀ PER UNO SCOPO SPECIFICO. L'UTILIZZO DA PARTE DELL'UTENTE DELLE INFORMAZIONI CONTENUTE NEL DOCUMENTO O NEI MATERIALI ACCESSIBILI DAL DOCUMENTO AVVIENE A PROPRIO RISCHIO. CISCO SI RISERVA IL DIRITTO DI MODIFICARE O AGGIORNARE IL PRESENTE DOCUMENTO IN QUALSIASI MOMENTO.

Cronologia delle revisioni

• Version	Descrizione	Sezione	Data
  1	Release iniziale		2015-11-marzo 16:05

  Mostra meno

Procedure di sicurezza di Cisco

• Le informazioni complete sulla segnalazione delle vulnerabilità della sicurezza nei prodotti Cisco, su come ottenere assistenza in caso di incidenti relativi alla sicurezza e su come registrarsi per ricevere informazioni sulla sicurezza da Cisco, sono disponibili sul sito Web di Cisco all'indirizzo https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Ciò include istruzioni per le richieste della stampa relative agli avvisi di sicurezza Cisco. Tutti gli avvisi sulla sicurezza Cisco sono disponibili all'indirizzo http://www.cisco.com/go/psirt.

Informazioni correlate

• • Bollettini sulla mitigazione applicata da Cisco
  • Cisco Security
  • Servizio Cisco Security IntelliShield Alert Manager
  • White paper su Cisco Network Foundation Protection
  • Presentazioni di Cisco Network Foundation Protection
  • Un approccio orientato alla sicurezza per l'indirizzamento IP
  • Prodotti Cisco Firewall - Home Page su Cisco.com
  • Cisco Catalyst serie 6500 ASA Services Module
  • Cisco 5500-X
  • Cisco ASA-CX
  • Miglioramenti unicast Reverse Path Forwarding per il provider di servizi Internet
  • Vulnerabilità ed esposizioni comuni (CVE)
  • Iscriviti ai bollettini sulla mitigazione applicata di Cisco

Prodotti interessati

• La vulnerabilità della sicurezza si applica alle seguenti combinazioni di prodotti.
  
  

  Prodotti principali
  Cisco	Cisco Expressway	X8.1 (Base, 0,1) | X8.2 (Base, 0,1)
  	Cisco TelePresence Video Communication Server (VCS)	X5.2 (base) | X6,0 (Base) | X6.1 (Base) | X7.0 (.0, .1, .2, .3) | X7.1 (Base) | X7.2 (Base, 0,1, 0,2) | X8.1 (Base, 0,1) | X8.2 (Base, 0,1)
  	Cisco TelePresence Conductor	XC1 (XC1.0, XC1.1, XC1.2) | XC2 (.0.0, .0.3, .2.2, .3, .3.1, .4)

  
  
  

  Prodotti associati