Cisco Response

• Dit Toegepaste Mitigation Bulletin is een begeleidend document bij de PSIRT Security Advisory Cisco IOS-software-gemeenschappelijke industriële protocolkwetsbaarheden en biedt identificatie- en mitigatietechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.
  
  Dit document biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren. De technieken die in dit document worden gepresenteerd, zijn alleen van toepassing op de kwetsbaarheid voor Cisco IOS-software en UDP CIP-ontkenning van services.

Kwetsbaarheid Kenmerken

• Cisco IOS-software bevat een kwetsbaarheid wanneer het gemaakte Common Industrial Protocol (CIP) IP, versie 4 (IPv4)-pakketten verwerkt. Deze kwetsbaarheid kan op afstand worden benut zonder authenticatie en zonder interactie van de eindgebruiker. Succesvolle benutting van deze kwetsbaarheid kan resulteren in een denial of service (DoS)-conditie. De aanvalsvector voor exploitatie is via IPv4-pakketten met UDP-poorten 222 of 44818. Een aanvaller kon deze kwetsbaarheid exploiteren met spoofed pakketten.
  
  Aan deze kwetsbaarheid is de code CVE-2015-0647 van de Common Vulnerabilities and Exposations (CVE) toegekend.

Overzicht van kwetsbaarheden

• Informatie over kwetsbare, onaangetaste en vaste software is beschikbaar in Cisco Security Advisory, dat beschikbaar is via de volgende link: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150325-cip.

Overzicht Mitigation Technique

• Cisco-apparaten bieden verschillende tegenmaatregelen voor deze kwetsbaarheid. Beheerders wordt aangeraden deze beveiligingsmethoden te beschouwen als algemene best practices op het gebied van beveiliging van infrastructuurapparaten en het verkeer dat het netwerk doorkruist. In dit gedeelte van het document wordt een overzicht van deze technieken gegeven.
  
  Cisco IOS-software kan effectieve middelen voor explosiepreventie bieden door gebruik te maken van de volgende methoden:
  

  • Toegangscontrolelijsten voor infrastructuur (iACL’s)
  • Unicast Reverse Path Forwarding (uRPF)
  • IP-bronbeveiliging (IPSG)

  
  Deze beschermingsmechanismen filteren en laten vallen, en verifiëren het IP-adres van de bron van pakketten die deze kwetsbaarheid proberen te exploiteren.
  
  De juiste implementatie en configuratie van uRPF biedt een effectieve bescherming tegen aanvallen die pakketten met IP-adressen van gespoofde bronnen gebruiken. uRPF moet zo dicht mogelijk bij alle verkeersbronnen worden geïmplementeerd.
  
  De juiste plaatsing en configuratie van IPSG biedt een effectief middel tegen spoofingaanvallen op de toegangslaag.
  
  Effectieve middelen voor explosiepreventie kunnen ook worden geleverd door de Cisco ASA 5500 en 5500-X Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers met het volgende:
  

  • Toegangscontrolelijsten voor douanevervoer (ACL’s)
  • uRPF

  
  Deze beschermingsmechanismen filteren en laten vallen, en verifiëren het IP-adres van de bron van pakketten die deze kwetsbaarheid proberen te exploiteren.
  
  Cisco IOS NetFlow- en Flexibele NetFlow-records kunnen zichtbaarheid bieden in netwerkgebaseerde exploitatiepogingen.
  
  Effectief gebruik van de gebeurtenisacties van Cisco Inbraakpreventiesysteem (IPS) biedt zichtbaarheid in en bescherming tegen aanvallen die proberen deze kwetsbaarheid te exploiteren.

Risicobeheer

• Organisaties wordt aangeraden hun standaardprocessen voor risicobeoordeling en risicobeperking te volgen om de mogelijke gevolgen van deze kwetsbaarheid te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.

Apparaatspecifieke beperking en identificatie

• Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.
  
  Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:
  

  • Cisco IOS-routers en -Switches
  • Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
  • Cisco-inbraakpreventiesysteem

  
  

  Cisco IOS-routers en -Switches

  Beperking: toegangscontrolelijsten voor infrastructuur

  Om infrastructuurapparaten te beschermen en het risico, de impact en de effectiviteit van directe infrastructuuraanvallen te minimaliseren, wordt beheerders aangeraden om iACL’s te implementeren voor het uitvoeren van beleidshandhaving van verkeer dat naar infrastructuurapparatuur wordt verzonden. Beheerders kunnen een iACL construeren door alleen geautoriseerd verkeer toe te staan dat naar infrastructuurapparaten wordt verzonden in overeenstemming met bestaand beveiligingsbeleid en configuraties. Voor een maximale bescherming van infrastructurele apparaten moeten gebruikte iACL’s worden toegepast in de toegangsrichting op alle interfaces waarvoor een IP-adres is geconfigureerd. Een iACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheid bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.

  Het iACL-beleid ontkent onbevoegde IPv4-pakketten op UDP-poort 222 en 44818 die naar getroffen apparaten worden verzonden. In het volgende voorbeeld, 192.168.60.0/24 en vertegenwoordigt de IP-adresruimte die wordt gebruikt door de betreffende apparaten, en de hosts op 192.168.100.1 en worden beschouwd als vertrouwde bronnen die toegang tot de betreffende apparaten vereisen. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend. Waar mogelijk moet de adresruimte van de infrastructuur worden onderscheiden van de adresruimte die wordt gebruikt voor gebruikers- en dienstensegmenten. Het gebruik van deze adresseringsmethodologie zal helpen bij de constructie en implementatie van iACL’s.

  Zie Uw kern beveiligen: Toegangscontrolelijsten voor infrastructuurbescherming voor aanvullende informatie over iACL’s.

  
  ip access-list extended Infrastructure-ACL-Policy 
   ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable UDP ports !
    permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 2222
    permit udp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 44818
   ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks !
    deny udp any 192.168.60.0 0.0.0.255 eq 2222
    deny udp any 192.168.60.0 0.0.0.255 eq 44818
   ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic !
    deny ip any 192.168.60.0 0.0.0.255
   ! ! ! !-- Apply tACL to interface in the ingress direction !
  interface GigabitEthernet0/0
   ip access-group Infrastructure-ACL-Policy in 

  Merk op dat het filtreren met een lijst van de interfacetoegang de transmissie van onbereikbare berichten ICMP terug naar de bron van het gefilterde verkeer zal veroorzaken. Het genereren van deze berichten zou het ongewenste effect kunnen hebben van het verhogen van CPU-gebruik op het apparaat. In Cisco IOS-software is de onbereikbare ICMP-generatie standaard beperkt tot één pakket per 500 milliseconden. ICMP onbereikbare berichtgeneratie kan worden uitgeschakeld met de opdracht interfaceconfiguratie zonder ip onbereikbaar. ICMP-onbereikbare snelheidsbeperking kan vanuit de standaardinstelling worden gewijzigd met behulp van de globale opdracht voor configuratie ip icmp-snelheidslimiet voor onbereikbare interval-in-ms .

  Zie het witboek Cisco Security Intelligence Operations Identificeert de effectiviteit van beveiligingsbeperkingen met Cisco IOS-software voor informatie over het gebruik van de Cisco IOS-opdrachtregelinterface voor het meten van de effectiviteit van beveiligingsbeperkingen.

  Beperken: bescherming tegen spoofing

  Unicast doorsturen van omgekeerde paden

  De kwetsbaarheid die in dit document wordt beschreven, kan worden benut door gespoofde IP-pakketten. Beheerders kunnen Unicast Reverse Path Forwarding (uRPF) implementeren en configureren als een beschermingsmechanisme tegen spoofing.

  uRPF is ingesteld op interfaceniveau en kan pakketten detecteren en neerzetten die geen verifieerbaar IP-bronadres hebben. Beheerders dienen niet te vertrouwen op uRPF om volledige bescherming tegen spoofing te bieden, omdat spoofed-pakketten het netwerk via een uRPF-enabled interface kunnen binnenkomen als er een geschikte retourroute naar het bron-IP-adres bestaat. Beheerders wordt aangeraden om ervoor te zorgen dat de juiste uRPF-modus (los of strikt) wordt geconfigureerd tijdens de implementatie van deze functie, omdat legitiem verkeer dat het netwerk doorkruist kan worden uitgeschakeld. In een ondernemingsmilieu, kan uRPF bij de rand van Internet en de interne toegangslaag op gebruiker-ondersteunende Layer 3 worden toegelaten interfaces.

  Voor extra informatie over de configuratie en het gebruik van uRPF, raadpleegt u het Witboek Understanding Unicast Reverse Path Forwarding Cisco Security Intelligence Operations.

  IP-bronbeveiliging

  IP Source Guard (IPSG) is een beveiligingsfunctie die IP-verkeer op niet-gerouteerde, Layer 2-interfaces beperkt door pakketten te filteren op basis van de bindende database met DHCP-snooping en handmatig ingestelde IP-bronbindingen. Beheerders kunnen IPSG gebruiken om aanvallen te voorkomen van een aanvaller die probeert pakketten te parasiteren door het IP-bronadres en/of het MAC-adres te vervalsen. Wanneer correct geïmplementeerd en geconfigureerd, biedt IPSG in combinatie met de strikte modus uRPF de meest effectieve bescherming tegen spoofing voor de kwetsbaarheid die in dit document wordt beschreven.

  Aanvullende informatie over de implementatie en configuratie van IPSG is te vinden in Configureren DHCP-functies en IP Source Guard.

  
  

  Cisco ASA, Cisco ASM en Cisco FWSM-firewalls

  Beperking: toegangscontrolelijsten voor douanevervoer

  Om het netwerk te beschermen tegen verkeer dat het netwerk ingaat op toegangspunten die internetverbindingspunten, partner- en leverancierverbindingen of VPN-verbindingspunten kunnen omvatten, wordt beheerders aangeraden om tACL’s te implementeren om beleidshandhaving uit te voeren. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheid bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.

  Het tACL-beleid ontkent onbevoegde IPv4-pakketten op UDP-poorten 222 en 44818 die naar getroffen apparaten worden verzonden. In het volgende voorbeeld, 192.168.60.0/24 vertegenwoordigt de IP adresruimte die door de beïnvloede apparaten wordt gebruikt, en de gastheren in 192.168.100.1 worden beschouwd als vertrouwde bronnen die toegang tot de beïnvloede apparaten vereisen. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend.

  Zie Toegangscontrolelijsten voor doorvoer voor aanvullende informatie over tACL’s: filtering bij uw edge.

   ! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable UDP ports !
    access-list tACL-Policy extended permit udp host 192.168.100.1 
       192.168.60.0 0.0.0.255 eq 2222
    access-list tACL-Policy extended permit udp host 192.168.100.1 
       192.168.60.0 0.0.0.255 eq 44818
   ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks !
    access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 eq 2222
    access-list tACL-Policy extended deny udp any 192.168.60.0 255.255.255.0 eq 44818
   ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic !
    access-list tACL-Policy extended deny ip any 192.168.60.0 255.255.255.0
   ! ! ! !-- Apply tACL to interfaces in the ingress direction !
    access-group tACL-Policy in interface outside

  Zie Cisco Security Intelligence Operations Identification of Security Exploits met Cisco ASA, Cisco ASASM en Cisco FWSM Firewalls voor informatie over het gebruik van de opdrachtregel voor Cisco-firewalls om de effectiviteit van tACL’s te meten.

  Beperking: bescherming tegen spoofing met Unicast Reverse Path Forwarding

  De kwetsbaarheid die in dit document wordt beschreven, kan worden benut door gespoofde IP-pakketten. Beheerders kunnen uRPF implementeren en configureren als een beschermingsmechanisme tegen spoofing.

  uRPF is ingesteld op interfaceniveau en kan pakketten detecteren en neerzetten die geen verifieerbaar IP-bronadres hebben. Beheerders dienen niet te vertrouwen op uRPF om volledige bescherming tegen spoofing te bieden, omdat spoofed-pakketten het netwerk via een uRPF-enabled interface kunnen binnenkomen als er een geschikte retourroute naar het bron-IP-adres bestaat. In een ondernemingsmilieu, kan uRPF bij de rand van Internet en bij de interne toegangslaag op gebruiker-ondersteunende Layer 3 interfaces worden toegelaten.

  Voor extra informatie over de configuratie en het gebruik van uRPF, raadpleegt u de Cisco Security Appliance Command Reference for IP om het omgekeerde pad te verifiëren en de Unicast Reverse Path Forwarding Cisco Security White Paper te begrijpen.

  Raadpleeg de Cisco Security White Paper Identification of Security Exploits met Cisco ASA, Cisco ASASM en Cisco FWSM Firewalls voor informatie over het gebruik van de interface van de opdrachtregel voor firewalls om de effectiviteit van spookbeveiliging te meten.

  
  

  Cisco-inbraakpreventiesysteem

  Beperken: Cisco IPS-handtekeningtabel

  Beheerders kunnen de Cisco IPS-apparaten en servicesmodules gebruiken om bedreigingsdetectie te bieden en pogingen te voorkomen om de kwetsbaarheid te exploiteren die in dit document wordt beschreven. De volgende tabel geeft een overzicht van de CVE-identificatiecodes en de respectieve IPS-handtekeningen van Cisco die gebeurtenissen op potentiële pogingen om deze kwetsbaarheid te exploiteren, zullen activeren.

  CVE-id	Handtekeningrelease	Handtekening-ID	Handtekeningnaam	Ingeschakeld	Ernst	Fidelity*
  CVE-2015-0647	S858	5032-0	Cisco IOS-softwarerelease 1900 Gemeenschappelijke industriële protocoldenial-of-service	Ja	Hoog	85

  * Fidelity wordt ook aangeduid als Signature Fidelity Rating (SFR) en is de relatieve maat van de nauwkeurigheid van de handtekening (vooraf gedefinieerd). De waarde varieert van 0 tot 100 en wordt ingesteld door Cisco Systems, Inc.

  Beheerders kunnen Cisco IPS-sensoren configureren om een gebeurtenisactie uit te voeren wanneer een aanval wordt gedetecteerd. De geconfigureerde actie van de gebeurtenis voert preventieve of afschrikkende controles uit om te helpen beschermen tegen een aanval die probeert de kwetsbaarheid te exploiteren die in de vorige tabel is vermeld.

  Explosies die gespoofde IP-adressen gebruiken kunnen ervoor zorgen dat een geconfigureerde gebeurtenisactie per ongeluk verkeer van vertrouwde bronnen ontkent.

  Cisco IPS-sensoren zijn het meest effectief wanneer ze worden ingezet in inline beschermingsmodus in combinatie met het gebruik van een gebeurtenisactie. Automatische bedreigingspreventie voor Cisco IPS 7.x- en 6.x-sensoren die in de inline-beschermingsmodus worden geïmplementeerd, biedt bedreigingspreventie tegen een aanval die probeert te profiteren van de kwetsbaarheid die in dit document wordt beschreven. De preventie van de bedreiging wordt bereikt door een standaardopheffing die een gebeurtenisactie voor teweeggebrachte handtekeningen met een riskRatingValue groter dan 90 uitvoert.

  Voor aanvullende informatie over de risicorating en de berekening van de dreigingswaardering, de referentie Risicorating en de dreigingswaardering: Vereenvoudig IPS-beleidsbeheer.

  Zie Identificatie van kwaadaardig verkeer met Cisco Security Manager voor informatie over het gebruik van Cisco Security Manager om de activiteit van een Cisco IPS-sensor te bekijken.

Aanvullende informatie

• DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.

Revisiegeschiedenis

• Versie	Beschrijving	doorsnede	Datum
  1	Eerste vrijgave		2015-maart-25 16:01 GMT

  Minder tonen

Cisco-beveiligingsprocedures

• Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op de wereldwijde website van Cisco op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dit omvat instructies voor persvragen over Cisco-beveiligingsmeldingen. Alle Cisco-beveiligingsadviezen zijn beschikbaar op http://www.cisco.com/go/psirt.

Gerelateerde informatie

• • Cisco-bulletins voor toegepaste beperking
  • Cisco security portal
  • Cisco Security IntelliShield Alert Manager-service
  • Cisco-handleiding over het versterken van Cisco IOS-apparaten
  • De betekenis van cross-site scripting (XSS) bedreigingsvectoren
  • Cisco IOS NetFlow - startpagina op Cisco.com
  • Cisco IOS NetFlow-witboeken
  • NetFlow-prestatieanalyse
  • Cisco Firewallproducten - startpagina op Cisco.com
  • Cisco Catalyst 6500 Series ASA servicesmodule
  • Cisco Nexus 5500-X switch
  • Cisco ASA 5545-CX
  • Verbeteringen in Unicast Reverse Path Forwarding voor de Internet Service Provider
  • Cisco-inbraakpreventiesysteem
  • Cisco-downloads voor IPS-handtekeningen
  • Cisco-zoekpagina voor IPS-handtekeningen
  • Gemeenschappelijke kwetsbaarheden en blootstellingen (CVE)
  • Abonneren op Cisco-meldingen van toegepaste beperking

Betrokken producten

• De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.
  
  

  Primaire producten
  Cisco-software	IOS	12.2EX (12.2(44)EX, 12.2(44)EX1) | 12.2IRD (12.2(33)IRD1) | 12.2IRE (12.2(33)IRE3) | 12.2SE (12.2(46)SE, 12.2(46)SE1, 12.2(46)SE2, 12.2(50)SE2, 12.2(50)SE1, 12.2(50)SE2, 12.2(50)SE3, 12.2(50)SE4, 12.2(50)SE5, 12.2(52)SE1, 12.2(52)SE1) 2.2(55)SE, 12.2(55)SE3, 12.2(55)SE4, 12.2(55)SE5, 12.2(55)SE6, 12.2(55)SE7, 12.2(55)SE8, 12.2(55)SE9, 12.2(58)SE2) | 12,2SQ (12,2(44)SQ1) | 12.2SXI (12.2(33)SXI4b) | 12,4 JAM (12.4(25e)JAM1) | 12.4JAP (12.4(25e)JAP1m) | 12,4JAZ (12,4(25e)JAZ1) | 15.0EB (15.0(2)EB) | 15,0ED (15.0(2)ED1) | 15.0EY (15.0(1)EY, 15.0(1)EY1, 15.0(1)EY2, 15.0(2)EY, 15.0(2)EY1, 15.0(2)EY2, 15.0(2)EY3) | 15.0SE (15.0(2)SE, 15.0(2)SE1, 15.0(2)SE1, 15.0(2)SE3, 15.0(2)SE4, 15.0(2)SE5, 15.0(2)SE6, 15.0(2)SE7, 15.0(2a)SE6) | 15.2E (15.2(2)E, 15.2(2)E1, 15.2(2b)E) | 15.2EY (15.2(1)EY, 15.2(1)EY1, 15.2(1)EY2) | 15,2 JAZ (15,2(4)JAZ) | 15,2JB (15.2(2)JB1) | 15.3JA (15.3(3)JA, 15.3(3)JA1, 15.3(3)JA1m, 15.3(3)JA1n, 15.3(3)JA100, 15.3(3)JA2, 15.3(3)JA75) | 15.3JAA (15.3(3)JAA) | 15.3JAB (15.3(3)JAB, 15.3(3)JAB1) | 15,3JN (15.3(3)JN) | 15.3JNB (15.3(3)JNB) | 15.3S (15.3(2)S2)

  
  
  

  Verwante producten