Sécurité : Logiciel Cisco Adaptive Security Appliance (ASA)

Solutions de vulnérabilité de BÊTE ASA

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit une vulnérabilité dans le sowftware de l'appliance de sécurité adaptable Cisco (ASA) qui permet à des utilisateurs non autorisés pour accéder au contenu protégé. Des contournements pour cette question sont également décrits.

Contribué par Atri Basu, Loren Kolnes, et Narendra Meka, ingénieurs TAC Cisco.

Problème

L'exploit de navigateur contre la vulnérabilité SSL/TLS (BÊTE) est accrue par un attaquant afin de lire efficacement le contenu protégé par l'intermédiaire du vecteur d'initialisation (iv) enchaînant dans le bloc de chiffrement enchaînant le mode de chiffrement (CBC) avec une attaque connue de plaintext.

L'attaque utilise un outil qui exploite une vulnérabilité dans le protocole très utilisé de la version 1 de Transport Layer Security (TLSv1). La question n'est pas enracinée dans le protocole lui-même, mais plutôt les suites de chiffrement qu'il utilise. La version 3 (SSLv3) TLSv1 et de Secure Sockets Layer favorisent des chiffrements CBC, où la remplissage Oracle attaquent se produit. 

Impact pour l'utilisateur

Comme indiqué par l'enquête d'implémentation SSL d'impulsion SSL, créée par le mouvement digne de confiance d'Internet, plus de 75% de serveurs SSL soyez susceptible de cette vulnérabilité. Cependant, la logistique impliquée de l'outil de BÊTE est assez compliquée. Afin d'employer la BÊTE pour écouter clandestinement le trafic, un attaquant doit avoir la capacité de lire et injecter des paquets très rapidement. Ceci limite potentiellement les cibles efficaces pour une attaque de BÊTE. Par exemple, un attaquant de BÊTE peut efficacement saisir le trafic aléatoire à un hotspot de Wifi ou où tout le trafic Internet est embouteillé par un nombre limité de passerelles de réseau.

Solution

La BÊTE est une exploit de la faiblesse dans le chiffrement qui est utilisé par le protocole. Puisqu'il affecte le chiffrement CBC, le contournement d'origine pour cette question était de commuter au chiffrement RC4 à la place. Cependant, les faiblesses dans l'algorithme de planification principal de l'article RC4 qui a été édité en 2013 indique que même le RC4 a eu une faiblesse qui l'a rendu inapproprié.

Le contournement cette question, Cisco a mis en application ces deux difficultés pour l'ASA :

  • ID de bogue Cisco CSCts83720 : Améliorez au TLS 1.1/1.2

    TLS 1.1/1.2 de mise à jour et d'utilisation. La limite avec cette solution est qu'elle applique seulement aux Plateformes ASA 5500-X ASA. Le matériel de chiffrement sur les Plateformes existantes ASA (ASA 5505 et les séries ASA 5500) ne prennent en charge pas TLSv1.2. En conséquence, une difficulté pour ces Plateformes n'est pas faisable.

    En raison des limites de protocole, il n'y a aucune solution pour SSLv3 ou TLSv1.0 ; cependant, la plupart des navigateurs modernes ont mis en application différentes manières de réduction.

  • ID de bogue Cisco CSCuc85781 : Randomisation de Témoin de webvpn

    Pour les versions de logiciel ASA qui ne prennent en charge pas TLSv1.2, Cisco a incité les Témoins aléatoires avec cette difficulté afin de réduire le risque. Ceci n'empêche pas complètement des attaques de BÊTE, mais il aide aux atténuer.

Conseil : La seule manière d'être complètement protégé contre la vulnérabilité de BÊTE est d'utiliser TLSv1.2. C'est semblable aux chiffrements. Cisco continue à ajouter de plus nouveaux, plus forts chiffrements en plus nouveau code, et des chiffrements plus anciens pourraient avoir des problèmes connus (tels que le RC4). Ainsi, Cisco recommande que vous vous déplaciez aux protocoles et aux chiffrements plus nouveaux. 



Document ID: 118854