ASA BEAST漏洞解決方案

下載選項

  • PDF     (172.7 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (80.6 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (61.6 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2015 年 4 月 1 日
文件 ID:118854

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文檔介紹思科自適應安全裝置(ASA)軟體中存在允許未經授權的使用者訪問受保護內容的漏洞。還介紹了此問題的解決方法。

問題

攻擊者利用Browser Exploit Against SSL/TLS(BEAST)漏洞,以已知明文攻擊方式通過密碼塊鏈接(CBC)加密模式中的初始化向量(Initialization Vector,IV)連結有效讀取受保護的內容。

該攻擊使用一種工具,該工具利用廣泛使用的傳輸層安全第1版(TLSv1)協定中的漏洞。問題不在於協定本身,而在於協定使用的密碼套件。TLSv1和安全套接字層第3版(SSLv3)青睞CBC密碼,即發生填充Oracle攻擊。 

使用者影響

根據Trustworthy Internet Movement建立的SSL Pulse SSL實施調查,75%以上的SSL伺服器容易受到此漏洞的攻擊。但是,BEAST工具所涉及的後勤工作相當複雜。為了使用BEAST竊聽流量,攻擊者必須能夠非常快速地讀取和注入資料包。這可能限制了BEAST攻擊的有效目標。例如,BEAST攻擊者可以有效地在WIFI熱點或所有Internet流量都通過有限數量的網路網關進行封鎖時獲取隨機流量。

解決方案

BEAST是協定使用的密碼弱點的一種攻擊方式。由於此問題會影響CBC密碼,因此最初解決方法是切換到RC4密碼。然,2013年發表的RC4文章的關鍵排程演算法的弱點揭示出,即使RC4也存在使其不合適的弱點。

為了解決此問題,Cisco為ASA實施了以下兩個修復:

  • 思科錯誤ID CSCts83720:升級到TLS 1.1/1.2

    升級並使用TLS 1.1/1.2。此解決方案的侷限性是它僅適用於ASA 5500-X ASA平台。傳統ASA平台(ASA 5505和ASA 5500系列)上的加密硬體不支援TLSv1.2。因此,無法修復這些平台。

    由於通訊協定限制,沒有適用於SSLv3或TLSv1.0的解決方案;但是,大多數現代瀏覽器都實施了不同的緩解方法。

  • 思科錯誤ID CSCuc85781:WebVPN Cookie隨機化

    對於不支援TLSv1.2的ASA軟體版本,思科通過此修復將cookie隨機化,以降低風險。這並不能完全阻止BEAST攻擊,但有助於緩解這些攻擊。

示:完全避免BEAST漏洞的唯一方法是使用TLSv1.2。這類似於密碼。思科不斷在更新的代碼中新增更新、更強大的密碼,而較舊的密碼可能存在已知問題(例如RC4)。 因此,思科建議您使用較新的協定和密碼。 

修訂記錄

修訂 發佈日期 意見
1.0
01-Apr-2015
初始版本
TAC Authored

由思科工程師貢獻

  • Atri Basu, Loren Kolnes, and Narendra Meka
    Cisco TAC Engineers.

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品