Cisco-bulletin over toegepaste beperking-
Dit Toegepaste Matiging Bulletin is een begeleidend document bij de PSIRT Security Advisory Cisco IOS-software en IOS XE-software die kwetsbaar zijn voor endpoints of services en biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.
-
De Cisco mDNS-gateway laat een kwetsbaarheid zien bij het verwerken van IP-pakketten als versie 4 (IPv4) en IP, versie 6 (IPv6). Deze kwetsbaarheid kan op afstand worden benut zonder authenticatie en zonder interactie van de eindgebruiker. Succesvolle benutting van deze kwetsbaarheid kan resulteren in een denial of service (DoS)-conditie. Herhaalde pogingen om gebruik te maken van deze kwetsbaarheid kunnen resulteren in een aanhoudende DoS-conditie. De aanvalsvector voor exploitatie is via SIP IPv4- en IPv6-pakketten met UDP-poort 5353. Een aanvaller kon deze kwetsbaarheid exploiteren met spoofed pakketten.
Aan deze kwetsbaarheid is de code CVE-2015-0650 van de Common Vulnerabilities and Exposations (CVE) toegekend.
-
Overzicht van kwetsbaarheden
Informatie over kwetsbare, onaangetaste en vaste software is beschikbaar in Cisco Security Advisory, dat beschikbaar is via de volgende link: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150325-mdns.
-
Overzicht Mitigation Technique
Cisco-apparaten bieden verschillende tegenmaatregelen voor deze kwetsbaarheids. Beheerders wordt aangeraden om deze beveiligingsmethoden te beschouwen als algemene best practices op het gebied van beveiliging voor infrastructuurapparaten en het verkeer dat het netwerk doorkruist. In dit gedeelte van het document wordt een overzicht van deze technieken gegeven.
Cisco IOS-software kan effectieve middelen voor explosiepreventie bieden door gebruik te maken van transittoegangscontrolelijsten (tACL). Dit beschermingsmechanisme filtert en laat pakketten vallen die proberen deze kwetsbaarheid te exploiteren
Effectieve explosiepreventie kan ook worden geboden door de Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers die gebruik maken van doorvoertoegangscontrolelijsten (tACL). Dit beschermingsmechanisme filtert en laat pakketten vallen die proberen deze kwetsbaarheid te exploiteren.
-
Risicobeheer
Organisaties wordt aangeraden hun standaardprocessen voor risicobeoordeling en risicobeperking te volgen om de mogelijke gevolgen van deze kwetsbaarheid te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.
-
Apparaatspecifieke beperking en identificatie
Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.
Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:
Cisco IOS-routers en -Switches
Beperking: toegangscontrolelijsten voor douanevervoer
Om het netwerk te beschermen tegen verkeer dat het netwerk ingaat op toegangspunten, die internetverbindingspunten, partner- en leverancierspunten of VPN-verbindingspunten kunnen omvatten, wordt beheerders aangeraden om transittoegangscontrolelijsten (tACL’s) te implementeren om beleidshandhaving uit te voeren. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheid bieden wanneer de aanval afkomstig is van een vertrouwd bronadres. Het ACL-beleid ontkent onbevoegde IPv4- en IPv6-pakketten op UDP-poort 5353 die naar getroffen apparaten worden verzonden. In het volgende voorbeeld 192.168.60.0/24 en 2001:DB8:1:60:/64 staat voor de IP-adresruimte die door de betreffende apparaten wordt gebruikt. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend. Aanvullende informatie over tACL’s staat in Transit Access Control Lists: Filtering at Your Edge.! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable UDP port ! access-list 150 permit udp host 192.168.100.1 host 224.0.0.251 eq 5353 ! !-- The following vulnerability-specific access control entry !-- (ACE) can aid in identification of attacks ! access-list 150 deny udp any 192.168.60.0 0.0.0.255 eq 5353 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list 150 deny ip any any ! ! !-- Create the corresponding IPv6 tACL ! ipv6 access-list IPv6-Transit-ACL-Policy ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable UDP port ! permit udp host 2001:DB8::100:1 host FF02::FB eq 5353 ! !-- The following vulnerability-specific ACE can !-- aid in identification of attacks to global and !-- link-local addresses ! deny udp any 2001:DB8:1:60::/64 eq 5353 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and configurations !-- and allow IPv6 neighbor discovery packets, which !-- include neighbor solicitation packets and neighbor !-- advertisement packets ! permit icmp any any nd-ns permit icmp any any nd-na ! !-- Explicit deny for all other IPv6 traffic ! deny ipv6 any any ! ! !-- Apply tACLs to interface in the ingress direction ! interface GigabitEthernet0/0 ip access-group 150 in ipv6 traffic-filter IPv6-Transit-ACL-Policy in
Merk op dat het filtreren met een lijst van de interfacetoegang de transmissie van onbereikbare berichten ICMP terug naar de bron van het gefilterde verkeer zal veroorzaken. Het genereren van deze berichten zou het ongewenste effect kunnen hebben van het verhogen van CPU-gebruik op het apparaat. In Cisco IOS-software is de onbereikbare ICMP-generatie standaard beperkt tot één pakket per 500 milliseconden. ICMP onbereikbare berichtgeneratie kan worden uitgeschakeld met de opdrachten voor interfaceconfiguratie zonder ip onbereikbaar en zonder ipv6 onbereikbaar. ICMP-onbereikbare snelheidsbeperking kan van de standaardinstelling worden gewijzigd met behulp van de globale configuratieopdrachten ip icmp rate-limit onbereikbare interval-in-ms en ipv6 icmp fout-interval interval-in-ms.
Zie het Cisco Security white paper Identification the Effectiveness of Security Mitigations Using Cisco IOS Software voor informatie over het gebruik van de Cisco IOS-opdrachtregelinterface om de effectiviteit van de ACL te meten.
Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
Beperking: toegangscontrolelijsten voor douanevervoer
Om het netwerk te beschermen tegen verkeer dat het netwerk ingaat op toegangspunten die internetverbindingspunten, partner- en leverancierverbindingen of VPN-verbindingspunten kunnen omvatten, wordt beheerders aangeraden om tACL’s te implementeren om beleidshandhaving uit te voeren. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheid bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.
Het ACL-beleid ontkent onbevoegde IPv4- en IPv6-pakketten op UDP-poort 5353 die naar getroffen apparaten worden verzonden. In het volgende voorbeeld, 192.168.60.0/24 en 2001:DB8:1:60:/64 vertegenwoordigen de IP-adresruimte die door de betreffende apparaten wordt gebruikt, en de hosts op 192.168.100.1 en 2001:DB8:100:1 worden beschouwd als vertrouwde bronnen die toegang tot de betreffende apparaten vereisen. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend.
Zie Toegangscontrolelijsten voor doorvoer voor aanvullende informatie over tACL’s: filtering bij uw edge.
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable UDP port ! access-list tACL-Policy extended permit udp host 192.168.100.1 host 224.0.0.251 eq 5353 ! !-- The following vulnerability-specific access control entry !-- (ACE) can aid in identification of attacks ! access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 eq 5353 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list tACL-Policy extended deny ip any 192.168.60.0 255.255.255.0 ! ! !-- Create the corresponding IPv6 tACL ! ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable UDP port ! ipv6 access-list IPv6-tACL-Policy permit udp host 2001:DB8::100:1 host FF02::FB eq 5353 ! !-- The following vulnerability-specific ACE can !-- aid in identification of attacks ! ipv6 access-list IPv6-tACL-Policy deny udp any 2001:DB8:1:60::/64 eq 5353 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and configurations ! ! !-- Explicit deny for all other IPv6 traffic ! ipv6 access-list IPv6-tACL-Policy deny ip any any ! ! !-- Apply tACLs to interfaces in the ingress direction ! access-group tACL-Policy in interface outside access-group IPv6-tACL-Policy in interface outside
Zie Cisco Security Intelligence Operations Identification of Security Exploits met Cisco ASA, Cisco ASASM en Cisco FWSM Firewalls voor informatie over het gebruik van de opdrachtregel voor Cisco-firewalls om de effectiviteit van tACL’s te meten.
Vanaf Cisco ASA-softwarerelease 9.0 ondersteunen ACL’s (namelijk Unified ACL’s) IPv4- en IPv6-adressen. Er kan een combinatie van IPv4- en IPv6-adressen worden gespecificeerd voor de bron en de bestemming van de ACL. De Any4 en Any6-trefwoorden werden toegevoegd om respectievelijk IPv4-alleen en IPv6-alleen verkeer te vertegenwoordigen.
De vermeldingen in de IPv4- en IPv6-toegangslijst (ACE’s) in de IPv4- en IPv6-ACL’s van deze sectie kunnen ook in één Unified ACL worden opgenomen.
Zie het gedeelte Uitgebreide toegangslijsten toevoegen van de Cisco ASA-configuratiehandleiding voor extra informatie over Unified ACL’s.
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.
-
Minder tonenVersie Beschrijving doorsnede Datum 1 Eerste vrijgave 2015-maart-25 16:01 GMT
-
Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op de wereldwijde website van Cisco op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dit omvat instructies voor persvragen over Cisco-beveiligingsmeldingen. Alle Cisco-beveiligingsadviezen zijn beschikbaar op http://www.cisco.com/go/psirt.
-
De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.
Primaire producten Cisco-software IOS 12.2IRD (12.2(33)IRD1) | 12.2IRE (12.2(33)IRE3) | 12,2SQ (12,2(44)SQ1) | 12.2SXI (12.2(33)SXI4b) | 12,4 JAM (12.4(25e)JAM1) | 12.4JAP (12.4(25e)JAP1m) | 12,4JAZ (12,4(25e)JAZ1) | 15,0ED (15.0(2)ED1) | 15.1SY (15.1(2)SY, 15.1(2)SY1, 15.1(2)SY2, 15.1(2)SY3) | 15.2E (15.2(1)E, 15.2(1)E1, 15.2(1)E2, 15.2(1)E3, 15.2(2)E) | 15,2JB (15.2(2)JB1) | 15.3JA (15.3(3)JA1n) | 15.3JAB (15.3(3)JAB1) | 15,3JN (15.3(3)JN) | 15.3JNB (15.3(3)JNB) | 15.3S (15.3(2)S2, 15.3(3)S, 15.3(3)S1, 15.3(3)S1a, 15.3(3)S2, 15.3(3)S2a, 15.3(3)S3) | 15,4 M (15,4(3)M, 15,4(3)M1, 15,4(3)M2) | 15.4S (15.4(1)S, 15.4(1)S1, 15.4(1)S2, 15.4(2)S, 15.4(2)S1, 15.4(3)S) | 15.4SN (15.4(2)SN, 15.4(2)SN1, 15.4(3)SN, 15.4(3)SN1) | 15,4T (15.4(1)T, 15.4(1)T1, 15.4(1)T2, 15.4(2)T, 15.4(2)T1) Cisco IOS XE-software 3,3SE (3,3,0SE, 3,3,1SE) | 3,5E (3,5,0E, 3,5,1E, 3,5,2E, 3,5,3E) | 3,6E (3,6,0E) | 3.10S (3.10.0S, 3.10.0aS, 3.10.1S, 3.10.1xbS, 3.10.1xcS, 3.10.2S, 3.10.2aS, 3.10.3S) | 3.11S (3.11.0S, 3.11.1S, 3.11.2S) | 3,12S (3,12,0S, 3,12,1S) | 3,13S (3,13,0S, 3,13,0aS)
Verwante producten
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM WAARSCHUWINGEN TE ALLEN TIJDE TE WIJZIGEN OF BIJ TE WERKEN.
Een standalone kopie of parafrase van de tekst van dit document die de distributie-URL weglaat, is een ongecontroleerde kopie en kan belangrijke informatie missen of feitelijke fouten bevatten. De informatie in dit document is bedoeld voor eindgebruikers van Cisco-producten