Cisco-bulletin over toegepaste beperking-
Mitsubishi MX Component bevat een kwetsbaarheid die een niet-geverifieerde, externe aanvaller in staat zou kunnen stellen om willekeurige code op een doelsysteem uit te voeren.
Deze kwetsbaarheid is te wijten aan een onjuiste behandeling van bepaalde webpagina's door de betreffende software. Een niet-geverifieerde, externe aanvaller zou deze kwetsbaarheid kunnen uitbuiten door een gebruiker over te halen om een kwaadaardige webpagina te bezoeken. Wanneer bezocht, zou het de aanvaller kunnen toestaan om willekeurige code op een gericht systeem uit te voeren.
-
Effectieve explosiepreventie kan worden geboden door de Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers met behulp van Application Layer Protocol inspection.
Dit beschermingsmechanisme filtert en laat pakketten vallen die proberen om de kwetsbaarheid te exploiteren.
De Cisco ACE-applicatie en module voor Application Control Engine kunnen ook een effectieve bescherming bieden door gebruik te maken van toepassingsprotocolinspectie.
Cisco ASA, Cisco ASASM, Cisco FWSM firewalls, en Cisco ACE Application Control Engine applicatie en module kunnen zichtbaarheid bieden door middel van syslogberichten en tegenwaarden die worden weergegeven in de uitvoer van show opdrachten.
-
Organisaties wordt aangeraden hun standaardprocessen voor risicobeoordeling en risicobeperking te volgen om de mogelijke gevolgen van deze kwetsbaarheid te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.
-
Apparaatspecifieke beperking en identificatie
Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.
Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:
Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
Beperking: Application Layer Protocol Inspectie
Application Layer Protocol inspection is beschikbaar vanaf softwarerelease 7.2(1) voor Cisco ASA 5500 Series adaptieve security applicatie, softwarerelease 8.5 voor Cisco Catalyst 6500 Series ASA servicesmodule en in softwarerelease 4.0(1) voor Cisco Firewall Services Module. Deze geavanceerde beveiligingsfunctie voert een diepe pakketinspectie uit van verkeer dat door de firewall loopt. Beheerders kunnen een inspectiebeleid opstellen voor toepassingen die een speciale behandeling vereisen door middel van de configuratie van kaarten van inspectieklasse en kaarten van het inspectiebeleid, die door middel van een globaal of interfacedienstenbeleid worden toegepast.
Aanvullende informatie over inspectie van toepassingslaagprotocollen is in de sectie Configuration Application Layer Inspection van de Cisco ASA 5500 Series Configuration Guide waarin de CLI, 8.2 en de sectie Configuration Application Inspection van de Cisco Catalyst 6500 Series ASA Services Module CLI Configuration Guide, 8.5 worden gebruikt.
Waarschuwing: Application Layer Protocol inspection verlaagt de prestaties van de firewall. Beheerders wordt aangeraden om de invloed op de prestaties te testen in een laboratoriumomgeving voordat deze functie wordt geïmplementeerd in productieomgevingen.
HTTP-toepassingsinspectie
Door de HTTP-inspectieengine op de Cisco ASA 5500 Series adaptieve security applicaties, Cisco 6500 Series ASA-servicesmodules en Cisco Firewall Services Module te gebruiken, kunnen beheerders reguliere expressies (regexes) configureren voor patroonmatching en kaarten van inspectieklasse en kaarten van inspectiebeleid samenstellen. Deze methodes kunnen helpen tegen specifieke kwetsbaarheden, zoals beschreven in dit document, en andere bedreigingen beschermen die met HTTP-verkeer kunnen worden geassocieerd. De volgende configuratie van HTTP-toepassingsinspectie gebruikt het Cisco Modular Policy Framework (MPF) om een beleid te maken voor inspectie van verkeer op TCP-poorten 80, 3128, 8000, 8010, 8080, 8888 en 24326. Dit zijn de standaardpoorten voor de variabele Cisco IPS #WEBPORTS. Het beleid van de de toepassingsinspectie van HTTP zal verbindingen laten vallen waar het HTTP- reactielichaam om het even welke regexes bevat die worden gevormd om de controle aan te passen ActiveX die met deze kwetsbaarheid wordt geassocieerd.Waarschuwing: de geconfigureerde regexes kan tekststrings op elke locatie in de hoofdtekst van een HTML-respons aan. Zorg ervoor dat legitieme bedrijfstoepassingen die bijpassende tekstkoorden gebruiken zonder de ActiveX-controle te bellen, niet worden beïnvloed. De extra informatie over syntaxis regex is in het Creëren van een Reguliere Expressie.
Aanvullende informatie over ActiveX maakt gebruik van en beperkt de mogelijkheden van Cisco-firewalltechnologieën die beschikbaar zijn in het witboek Preventing ActiveX Exploits with Cisco Firewall Application Layer Inspection of Cisco Security.
! !-- Configure a regex for the ActiveX Class ID !-- "B5D4B42F-AD6E-11D3-BE97-0090FE014643" that is associated !-- with this vulnerability ! regex CLSID_activeX "[bB]5[dD]4[bB]42[fF][-][aA][dD]6[eE][-] 11[dD]3[-][bB][eE]97[-]0090[fF][eE]014643" ! !-- Configure a regex class to match on the regular !-- expressions that are configured above ! class-map type regex match-any vulnerable_activeX_class match regex CLSID_activeX ! !-- Configure an object group for the default ports that !-- are used by the Cisco IPS #WEBPORTS variable, which !-- are TCP ports 80 (www), 3128, 8000, 8010, 8080, 8888, !-- and 24326 ! object-group service WEBPORTS tcp port-object eq www port-object eq 3128 port-object eq 8000 port-object eq 8010 port-object eq 8080 port-object eq 8888 port-object eq 24326 ! !-- Configure an access list that uses the WEBPORTS object !-- group, which will be used to match TCP packets that !-- are destined to the #WEBPORTS variable that is used !-- by a Cisco IPS device ! access-list Webports_ACL extended permit tcp any any object-group WEBPORTS ! !-- Configure a class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable ! class-map Webports_Class match access-list Webports_ACL ! !-- Configure an HTTP application inspection policy that !-- identifies, drops, and logs connections that contain !-- the regex that is configured above ! policy-map type inspect http http_policy parameters ! !-- "body-match-maximum" indicates the maximum number of !-- characters in the body of an HTTP message that !-- should be searched in a body match. The default value is !-- 200 bytes. A large number such as shown here may have an !-- impact on system performance. Administrators are advised !-- to test performance impact in a lab environment before !-- this command is deployed in production environments ! body-match-maximum 1380 match response body regex class vulnerable_activeX_class drop-connection log ! !-- Add the above-configured "Webports_Class" that matches !-- TCP packets that are destined to the default ports !-- that are used by the Cisco IPS #WEBPORTS variable to !-- the default policy "global_policy" and use it to !-- inspect HTTP traffic that transits the firewall ! policy-map global_policy class Webports_Class inspect http http_policy ! !-- By default, the policy "global_policy" is applied !-- globally, which results in the inspection of !-- traffic that enters the firewall from all interfaces ! service-policy global_policy global
Raadpleeg de Cisco ASA 5500 Series Configuration Guide in combinatie met de CLI, 8.2 voor het configureren van objectgroepen en de sectie Config Objecten en Toegangslijsten van de Cisco Catalyst 6500 Series ASA Services Module CLI Configuration Guide, 8.5. voor extra informatie over de configuratie en het gebruik van objectgroepen.
Aanvullende informatie over HTTP-toepassingsinspectie en de MPF is in de sectie HTTP-inspectie - Overzicht van de Cisco ASA 5500 Series configuratiehandleiding die de CLI, 8.2 gebruikt.
Identificatie: Application Layer Protocol Inspection
Er wordt een firewallsyslog-bericht 415007 gegenereerd wanneer een HTTP-berichttekst overeenkomt met een door de gebruiker gedefinieerde reguliere expressie. Het syslogbericht identificeert de bijbehorende HTTP-klasse en het HTTP-beleid en geeft de actie aan die is toegepast op de HTTP-verbinding. Aanvullende informatie over dit syslogbericht wordt weergegeven in Cisco ASA 5500 Series systeemlogbericht, 8.2 - 415007.
Informatie over het configureren van syslog voor de Cisco ASA 5500 Series adaptieve security applicatie is beschikbaar in Monitoring - Configuration Logging. Informatie over het configureren van syslog voor Cisco Catalyst 6500 Series ASA-servicesmodule bevindt zich in Vastlegging configureren. De informatie over het configureren van syslog op de FWSM voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers is beschikbaar in Monitoring the Firewall Services Module.
In het volgende voorbeeld, de show vastlegging | grep regex opdracht haalt syslog berichten uit de logboekbuffer op de firewall. Deze berichten verstrekken extra informatie over ontkende pakketten die op pogingen konden wijzen om deze kwetsbaarheid te exploiteren. Beheerders kunnen verschillende reguliere expressies gebruiken met het grep-sleutelwoord om te zoeken naar specifieke gegevens in de geregistreerde berichten.
Aanvullende informatie over de syntaxis van reguliere expressies is te vinden in Create a Regular Expression.
HTTP-toepassingsinspectie
vastlegging firewall# show | 415007
Apr 3 2013 14:35:54: %ASA-5-415007: HTTP - matched Class 22: vulnerable_activeX_class in policy-map http_policy, Body matched - Dropping connection from inside:192.168.60.85/2130 to outside:192.0.2.63/80 Apr 3 2013 14:35:55: %ASA-5-415007: HTTP - matched Class 20: vulnerable_activeX_class in policy-map http_policy, Body matched - Dropping connection from inside:192.168.60.86/2133 to outside:192.0.2.63/80 Apr 3 2013 14:36:03: %ASA-5-415007: HTTP - matched Class 24: vulnerable_activeX_class in policy-map http_policy, Body matched - Dropping connection from inside:192.168.60.87/2129 to outside:192.0.2.63/80Als HTTP-toepassingsinspectie is ingeschakeld, zal de opdracht Protocol inspecteren voor show-service het aantal HTTP-pakketten identificeren die door deze functie worden geïnspecteerd en gedropt. Het volgende voorbeeld toont output voor show service-policy inspect http:
firewall# show service-policy inspect http Global policy: Service-policy: global_policy Class-map: inspection_default Class-map: Webports_Class Inspect: http http_policy, packet 5025, drop 20, reset-drop 0 protocol violations packet 0 match response body regex class vulnerable_activeX_class drop-connection log, packet 20In het vorige voorbeeld zijn 5025 HTTP-pakketten geïnspecteerd en zijn 20 HTTP-pakketten gevallen.
Cisco ACE
Beperken: Application Protocol Inspection
Application Protocol inspection is beschikbaar voor de Cisco ACE-applicatie en module voor Application Control Engine. Deze geavanceerde beveiligingsfunctie voert een diepe pakketinspectie uit van verkeer dat het Cisco ACE-apparaat doorvoert. De beheerders kunnen een inspectiebeleid voor toepassingen construeren die speciale behandeling door de configuratie van de kaarten van de inspectieklasse en de kaarten van het inspectiebeleid vereisen, die via een globaal of interfacebeleid worden toegepast.
Aanvullende informatie over inspectie van toepassingsprotocollen vindt u in de sectie Configuration Application Protocol Inspection van de Cisco ACE 4700 Series configuratiehandleiding voor applicatie security.
HTTP-pakketcontrole voor diep gebruik
Om HTTP diepe pakketinspectie voor deze kwetsbaarheid uit te voeren, kunnen beheerders reguliere expressies (regexes) configureren voor patroonmatching en inspectieklasse-kaarten en inspectiebeleidskaarten samenstellen. Deze methodes kunnen helpen tegen specifieke kwetsbaarheden, zoals beschreven in dit document, en andere bedreigingen beschermen die met HTTP-verkeer kunnen worden geassocieerd. De volgende configuratie van de inspectie van het toepassingsprotocol van HTTP inspecteert verkeer op TCP-poorten 80, 3128, 8000, 8010, 8080, 8888 en 24326, die de standaardpoorten zijn voor de variabele Cisco IPS #WEBPORTS. Het beleid van de de toepassingsprotocolinspectie van HTTP zal verbindingen laten vallen waar de inhoud van HTTP om het even welke regexes bevat die worden gevormd om de controle aan te passen ActiveX die met deze kwetsbaarheid wordt geassocieerd.
Waarschuwing: de geconfigureerde regexes kan tekststrings op elke locatie in de inhoud van een HTML-pakket aan elkaar koppelen. Zorg ervoor dat legitieme bedrijfstoepassingen die bijpassende tekstkoorden gebruiken zonder de ActiveX-controle te bellen, niet worden beïnvloed.
Aanvullende informatie over ActiveX-explosies en -beperkingen die gebruikmaken van de Cisco ACE Application Control Engine-applicatie en -module is beschikbaar in de white paper Preventing ActiveX Exploits met Cisco Application Control Engine Application Layer Inspection door Cisco Security.
! !-- Configure an HTTP application inspection class that !-- looks for HTTP packets that contain the regex for the !-- ActiveX Class ID !-- "5EFE8CB1-D095-11D1-88FC-0080C859833B" !-- that is associated with this vulnerability ! class-map type http inspect match-any vulnerable_activeX_http_class match content ".*[bB]5[dD]4[bB]42[fF][-][aA][dD]6[eE][-] 11[dD]3[-][bB][eE]97[-]0090[fF][eE]014643.*" ! !-- Configure an HTTP application inspection policy that !-- identifies, resets, and logs connections that contain !-- the regex that are configured above ! policy-map type inspect http all-match http_policy class vulnerable_activeX_http_class reset log ! !-- Configure an access list that matches TCP packets !-- that are destined to the #WEBPORTS variable that is !-- used by a Cisco IPS device ! access-list WEBPORTS line 8 extended permit tcp any any eq www access-list WEBPORTS line 16 extended permit tcp any any eq 3128 access-list WEBPORTS line 24 extended permit tcp any any eq 8000 access-list WEBPORTS line 32 extended permit tcp any any eq 8010 access-list WEBPORTS line 40 extended permit tcp any any eq 8080 access-list WEBPORTS line 48 extended permit tcp any any eq 8888 access-list WEBPORTS line 56 extended permit tcp any any eq 24326 ! !-- Configure a Layer 4 class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable ! class-map match-all L4_http_class match access-list WEBPORTS ! !-- Configure a Layer 4 policy that applies the HTTP application !-- inspection policy configured above to TCP packets that !-- are destined to the ports that are used by the Cisco IPS !-- #WEBPORTS variable ! policy-map multi-match L4_http_inspect_policy class L4_http_class inspect http policy http_policy ! !-- Apply the configuration globally across all interfaces, !-- which results in the inspection of all traffic that enters !-- the ACE ! service-policy input L4_http_inspect_policy
Identificatie: Application Protocol Inspection
HTTP-pakketcontrole voor diep gebruik
Cisco ACE-syslogbericht 415006 van Application Control Engine wordt gegenereerd wanneer de URI overeenkomt met een door de gebruiker gedefinieerde reguliere expressie. Het syslogbericht identificeert de bijbehorende HTTP-klasse en het HTTP-beleid en geeft de actie aan die is toegepast op de HTTP-verbinding. Aanvullende informatie over dit syslogbericht wordt weergegeven in de Cisco ACE 4700 Series Berichtshandleiding applicatiesysteem - System Message 415006.
Cisco ACE-systeembericht 415007 van Application Control Engine wordt gegenereerd wanneer een HTTP-berichttekst overeenkomt met een door de gebruiker gedefinieerde reguliere expressie. Het syslogbericht identificeert de bijbehorende HTTP-klasse en het HTTP-beleid en geeft de actie aan die is toegepast op de HTTP-verbinding. Aanvullende informatie over dit syslogbericht wordt weergegeven in de Cisco ACE 4700 Series Berichtshandleiding applicatiesysteem - System Message 415007.
ACE/Admin# show logging | include 415007 Apr 3 2013 15:26:43: %ACE-5-415007: HTTP - matched vulnerable_activeX_http_class in policy-map L4_http_inspect_policy, Body matched - Resetting connection from vlan206:192.0.2.94/80 to vlan130:192.168.60.63/1776 Connection 0x3a Apr 3 2013 15:30:33: %ACE-5-415007: HTTP - matched vulnerable_activeX_http_class in policy-map L4_http_inspect_policy, Body matched - Resetting connection from vlan206:192.0.2.94/80 to vlan130:192.168.60.63/1778 Connection 0x3cWanneer de diepe pakketinspectie van HTTP wordt toegelaten, zal het show service-policy policy-detailbevel het aantal HTTP-verbindingen identificeren die door deze functie worden geïnspecteerd en losgelaten. Het volgende voorbeeld toont output voor show service-policy L4_http_inspect_policy detail:
ACE/Admin# show service-policy L4_http_inspect_policy detail Status : ACTIVE
Description: -----------------------------------------
Context Global Policy: service-policy: L4_http_inspect_policy class: L4_http_class inspect http: L7 inspect policy : http_policy Url Logging: DISABLED curr conns : 0 , hit count : 1 dropped conns : 0 client pkt count : 3 , client byte count: 589 server pkt count : 3 , server byte count: 547 conn-rate-limit : 0 , drop-count : 0 bandwidth-rate-limit : 0 , drop-count : 0 L4 policy stats: Total Req/Resp: 4 , Total Allowed: 2 Total Dropped : 2 , Total Logged : 0 class/match : vulnerable_activeX_http_class Inspect action : reset log Total Inspected : 2 , Total Matched: 2 Total Dropped OnError: 0In het vorige voorbeeld zijn 4 HTTP-verbindingen geïnspecteerd en zijn 2 HTTP-verbindingen verbroken.
Aanvullende informatie over HTTP Deep Packet Inspection en Application Protocol Inspection is te vinden in de sectie Configuration Application Protocol Inspection van de Cisco ACE 4700 Series configuratiehandleiding voor applicatie security.
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.
-
Minder tonenVersie Beschrijving doorsnede Datum 1 Eerste vrijgave 2013-april-04 16:02 GMT
-
Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op de wereldwijde website van Cisco op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dit omvat instructies voor persvragen over Cisco-beveiligingsmeldingen. Alle Cisco-beveiligingsadviezen zijn beschikbaar op http://www.cisco.com/go/psirt.
-
De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.
Primaire producten IntelliShield Toegepaste beperking Bulletin Oorspronkelijke release (basis)
Verwante producten
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM WAARSCHUWINGEN TE ALLEN TIJDE TE WIJZIGEN OF BIJ TE WERKEN.
Een standalone kopie of parafrase van de tekst van dit document die de distributie-URL weglaat, is een ongecontroleerde kopie en kan belangrijke informatie missen of feitelijke fouten bevatten. De informatie in dit document is bedoeld voor eindgebruikers van Cisco-producten