Soluzioni ASA BEAST Vulnerability

Opzioni per il download

  • PDF     (83.8 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (82.5 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (64.1 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:1 aprile 2015
ID documento:118854

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritta una vulnerabilità del software Cisco Adaptive Security Appliance (ASA) che consente a utenti non autorizzati di accedere ai contenuti protetti. Vengono inoltre descritte le soluzioni per questo problema.

Problema

La vulnerabilità del browser Exploit Against SSL/TLS (BEAST) viene sfruttata da un utente non autorizzato per leggere in modo efficace il contenuto protetto tramite il concatenamento del vettore di inizializzazione (IV) in modalità di crittografia CBC (Cipher Block Chaining) con un attacco di testo normale noto.

L'attacco utilizza uno strumento che sfrutta una vulnerabilità nel protocollo TLSv1 (Transport Layer Security Version 1) ampiamente utilizzato. La questione non ha radici nel protocollo in sé, ma piuttosto nelle suite di cifratura che usa. TLSv1 e Secure Sockets Layer versione 3 (SSLv3) favoriscono le cifrature CBC, dove si verifica l'attacco Oracle Padding

Impatto utente

Come indicato dall'indagine sull'implementazione SSL Pulse, creata dal Trustworthy Internet Movement, oltre il 75% dei server SSL è esposto a questa vulnerabilità. Tuttavia, la logistica associata allo strumento BEAST è piuttosto complicata. Per utilizzare BEAST per intercettare il traffico, l'aggressore deve essere in grado di leggere e inserire i pacchetti molto rapidamente. Questo potenzialmente limita le destinazioni effettive per un attacco BESTIA. Ad esempio, un attacco BESTIA può efficacemente catturare il traffico casuale in un hotspot WIFI o dove tutto il traffico Internet è bloccato da un numero limitato di gateway di rete.

Soluzione

BEAST è uno sfruttamento della debolezza nel cifrario che viene utilizzato dal protocollo. Dato che influisce sulla cifratura CBC, la soluzione originale per questo problema era passare alla cifratura RC4. Tuttavia, le debolezze nel Key Scheduling Algorithm dell'articolo RC4 pubblicato nel 2013 rivelano che anche RC4 aveva una debolezza che lo rendeva inadatto.

Per risolvere questo problema, Cisco ha implementato le due correzioni seguenti per l'appliance ASA:

  • ID bug Cisco CSCts83720: Aggiornamento a TLS 1.1/1.2

    Aggiornare e usare TLS 1.1/1.2. Il limite di questa soluzione è che si applica solo alle piattaforme ASA 5500-X. L'hardware di crittografia sulle piattaforme ASA legacy (ASA 5505 e ASA serie 5500) non supporta TLSv1.2. Di conseguenza, non è possibile risolvere il problema per queste piattaforme.

    A causa delle limitazioni del protocollo, non è disponibile alcuna soluzione per SSLv3 o TLSv1.0; tuttavia, la maggior parte dei browser moderni ha implementato diversi modi di mitigazione.

  • ID bug Cisco CSCuc85781: Randomizzazione cookie WebVPN

    Per le versioni del software ASA che non supportano TLSv1.2, Cisco ha reso i cookie casuali con questa correzione per ridurre il rischio. Questo non previene completamente gli attacchi BESTIA, ma aiuta a mitigarli.

Suggerimento: l'unico modo per essere completamente protetti dalla vulnerabilità della BESTIA è usare TLSv1.2. È simile ai cifrari. Cisco continua ad aggiungere codifiche più recenti e più robuste, mentre le codifiche meno recenti potrebbero presentare problemi noti (ad esempio, RC4). Pertanto, Cisco consiglia di passare ai protocolli e alle cifrature più recenti. 

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
01-Apr-2015
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Atri Basu, Loren Kolnes, and Narendra Meka
    Cisco TAC Engineers.

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti