セキュリティ : Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェア

ASA 獣脆弱性ソリューション

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は許可されていないユーザが保護されたコンテンツにアクセスすることを可能にする Cisco 適応性があるセキュリティ アプライアンス モデル(ASA) sowftware 内の脆弱性を記述したものです。 この問題のための回避策はまた記述されています。

Atri Basu、Loren Kolnes、および Narendra Meka によって貢献される、Cisco TAC エンジニア。

問題

攻撃者によって SSL/TLS (獣)脆弱性に対するブラウザ エクスプロイトが効果的に有名なプレーンテキスト攻撃を用いる Cipher Block Chaining (CBC)暗号化モードの初期化ベクトル(iv)チェーニングによって保護されたコンテンツを読み込むのに活用 されて います

攻撃はツールを使用します広く利用された Transport Layer Security バージョン 1 (TLSv1)プロトコルの脆弱性を不正利用する。 問題プロトコル自体はで、むしろ使用する暗号スイート定着しませんが。 TLSv1 および Secure Sockets Layer バージョン 3 (SSLv3)は埋め込み Oracle 攻撃が発生する CBC 暗号を支持します。 

ユーザインパクト

SSL サーバの 75% 上の信頼できるインターネット移動が、作成する SSL パルス SSL 実装アンケートによって示されるようにこの脆弱性に敏感でであって下さい。 ただし、獣ツールに関連するロジスティクスはかなり複雑です。 獣をトラフィックで盗聴するのに使用するために攻撃者はパケットを非常にすぐに読み、インジェクトする機能がなければなりません。 これは可能性としては獣攻撃のための有効なターゲットを制限します。 たとえば、獣攻撃者は WIFI ホットスポットですべてのインターネット トラフィックがネットワーク ゲートウェイの限られた数を通して妨害されるところでまたは効果的にランダム トラフィックをつかむことができます。

解決策

獣はプロトコルによって使用する暗号の脆弱性のエクスプロイトです。 それが CBC 暗号に影響を与えるので、この問題のためのオリジナル回避策は RC4 暗号へ代りに切り替えることでした。 ただし、2013 年に送達された RC4 技術情報のキー スケジューリングアルゴリズムの弱さは RC4 に不適当にさせた脆弱性があったことを明らかにします。

回避策はこの問題、Cisco ASA のためのこれら二つの修正を設定しました:

  • Cisco バグ ID CSCts83720: TLS 1.1/1.2 にアップグレードして下さい

    TLS 1.1/1.2 をアップグレードし、使用して下さい。 このソリューションの制限は ASA 5500-X ASA プラットフォームにだけ適用することです。 レガシー ASA プラットフォーム(ASA 5505 および ASA 5500 シリーズ)の暗号化ハードウェアは TLSv1.2 をサポートしません。 その結果、これらのプラットフォームのための修正は実行不可能です。

    プロトコル の 制限が原因で、SSLv3 または TLSv1.0 のためのソリューションがありません; ただし、ほとんどの現代ブラウザは軽減のさまざまな方法を設定しました。

  • Cisco バグ ID CSCuc85781: WebVPN クッキー無作為化

    TLSv1.2 をサポートしない ASA ソフトウェア バージョンに関しては、Cisco はリスクを軽減するためにクッキーをこの修正でランダムにしました。 これは完全に獣不正侵入を防ぎませんが、それらの軽減を助けます。

ヒント: 完全に獣脆弱性から保護される唯一の方法は TLSv1.2 を使用することです。 これは暗号に類似したです。 Cisco はより新しいコードのより新しく、より強い暗号を追加し続けより古い暗号は既知の問題があるかもしれません(RC4 のような)。 従って、Cisco はより新しいプロトコルおよび暗号に移動することを推奨します。 


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118854