Seguridad : Software Cisco Adaptive Security Appliance (ASA)

Soluciones de la vulnerabilidad de la BESTIA ASA

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe una vulnerabilidad dentro del sowftware adaptante del dispositivo de seguridad de Cisco (ASA) que permite que los usuarios no autorizados accedan el contenido protegido. Las soluciones alternativas para este problema también se describen.

Contribuido por Atri Basu, Loren Kolnes, y Narendra Meka, ingenieros de Cisco TAC.

Problema

El exploit del navegador contra la vulnerabilidad SSL/TLS (BESTIA) leveraged por un atacante para leer con eficacia el contenido protegido vía el vector de inicialización (iv) que encadena en el modo de encripción del Cipher Block Chaining (CBC) con un ataque sabido del texto simple.

El ataque utiliza una herramienta que explote una vulnerabilidad en el protocolo ampliamente utilizado de la versión 1 de Transport Layer Security (TLSv1). El problema no se arraiga en el protocolo sí mismo, sino bastante las habitaciones de la cifra que utiliza. Los TLSv1 y Secure Sockets Layer versión 3 (SSLv3) favorecen las cifras CBC, donde ocurre el ataque del Oracle del relleno

Impacto en el usuario

Según lo indicado por la encuesta sobre la implementación del pulso SSL SSL, creada por el movimiento digno de confianza de Internet, sobre el 75% de los servidores SSL sea susceptible a esta vulnerabilidad. Sin embargo, la logística implicada con la herramienta de la BESTIA es bastante complicada. Para utilizar la BESTIA para escuchar detras de las puertas en el tráfico, un atacante debe tener la capacidad de leer y de inyectar los paquetes muy rápidamente. Esto potencialmente limita las blancos eficaces para un ataque de la BESTIA. Por ejemplo, un atacante de la BESTIA puede asir con eficacia el tráfico al azar en WIFI hot spot o donde todo el tráfico de Internet bottlenecked a través de un número limitado de gatewayes de la red.

Solución

La BESTIA es un exploit de la debilidad en la cifra que es utilizada por el protocolo. Puesto que afecta a la cifra CBC, la solución alternativa original para este problema era conmutar a la cifra RC4 en lugar de otro. Sin embargo, las debilidades en el algoritmo de programación dominante del artículo RC4 que fue publicado en 2013 revelan que incluso el RC4 tenía una debilidad que lo hizo inadecuado.

Para el workaround este problema, Cisco ha implementado estos dos arreglos para el ASA:

  • Id. de bug Cisco CSCts83720: Actualice a TLS 1.1/1.2

    Actualice y utilice TLS 1.1/1.2. La limitación con esta solución es que se aplica solamente a las Plataformas ASA 5500-X ASA. El hardware de encripción en las Plataformas de la herencia ASA (ASA 5505 y las 5500 Series ASA) no soporta TLSv1.2. Como consecuencia, un arreglo para estas Plataformas no es posible.

    Debido a las limitaciones del protocolo, no hay solución para SSLv3 o TLSv1.0; sin embargo, la mayoría de los hojeadores modernos han implementado diversas maneras de mitigación.

  • Id. de bug Cisco CSCuc85781: Distribución aleatoria del Cookie del WebVPN

    Para las versiones de software ASA que no soportan TLSv1.2, Cisco hizo los Cookie al azar con este arreglo para reducir el riesgo. Esto no previene totalmente los ataques de la BESTIA, pero ayuda a atenuarlos.

Consejo: La única forma de ser protegido totalmente contra la vulnerabilidad de la BESTIA es utilizar TLSv1.2. Esto es similar a las cifras. Cisco continúa agregando más nuevas, más fuertes cifras en un más nuevo código, y más viejas cifras pudieron tener problemas conocidos (tales como RC4). Así, Cisco recomienda que usted se traslada los más nuevos protocolos y cifras. 



Document ID: 118854