-
Dit Toegepaste Mitigation Bulletin is een begeleidend document bij het PSIRT Security Advisory Multiple Vulnerabilities in Cisco Secure Access Control System en biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.
-
Cisco Secure Access Control System (ACS) bevat kwetsbaarheden bij het verwerken van IP-pakketten voor Remote Method Invocation (RMI), versie 4 (IPv4). Deze kwetsbaarheden kunnen op afstand worden benut zonder verificatie en vereisen interactie met de eindgebruiker. Een succesvolle benutting van deze kwetsbaarheden zou de uitvoering van willekeurige codes kunnen toestaan. Cisco Secure ACS gebruikt RMI voor gegevens- en configuratiereplicatie tussen ACS-servers; daarom zijn de toegangscontrolelijsten (ACL’s) in dit document van toepassing tussen vertrouwde Cisco Secure ACS-servers. Clientmachines hebben geen toegang tot deze TCP-poorten nodig.
De aanvalsvectoren voor exploitatie worden via IPv4-pakketten verwerkt met behulp van de volgende protocollen en poorten:
- RMI met TCP-poort 2020
- RMI met TCP-poort 2030
-
Informatie over kwetsbare, onaangetaste en vaste software is beschikbaar in Cisco Security Advisory, dat beschikbaar is via de volgende link: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131023-acs.
-
Cisco-apparaten bieden verschillende tegenmaatregelen voor deze kwetsbaarheden. Beheerders wordt aangeraden deze beveiligingsmethoden te beschouwen als algemene best practices op het gebied van beveiliging van infrastructuurapparaten en het verkeer dat het netwerk doorkruist. In dit gedeelte van het document wordt een overzicht van deze technieken gegeven.
Cisco Secure ACS gebruikt RMI op TCP-poorten 2020 en 2030 voor replicatie van configuratieinformatie en gegevens in een implementatie met meerdere servers. Daarom zullen de vertrouwde adressen in onderstaande ACL-voorbeelden de beveiligde ACS-adressen van Cisco omvatten. Clients hebben geen toegang tot RMI-poorten nodig.
Cisco IOS-software kan effectieve middelen voor explosiepreventie bieden door gebruik te maken van Transit Access Control Lists (TACL’s). Dit beschermingsmechanisme filtert en laat pakketten vallen die proberen deze kwetsbaarheden te exploiteren.
Effectieve explosiepreventie kan ook worden geboden door de Cisco ASA 5500 Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers die Transit Access Control Lists (TACL’s) gebruiken. Dit beschermingsmechanisme filtert en laat pakketten vallen die proberen deze kwetsbaarheden te exploiteren.
-
Organisaties wordt aangeraden hun standaard risicobeoordelings- en risicobeperkingsprocessen te volgen om de potentiële impact van deze kwetsbaarheden te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.
-
Apparaatspecifieke beperking en identificatie
Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.
Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:
Cisco IOS-routers en -Switches
Beperking: toegangscontrolelijsten voor douanevervoer
Om het netwerk te beschermen tegen verkeer dat het netwerk ingaat op toegangspunten, die internetverbindingspunten, partner- en leverancierspunten of VPN-verbindingspunten kunnen omvatten, wordt beheerders aangeraden om transittoegangscontrolelijsten (tACL’s) te implementeren om beleidshandhaving uit te voeren. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheden bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.
Het tACL-beleid ontkent onbevoegde IPv4-pakketten op TCP-poorten 2020 en 2030 die naar getroffen apparaten worden verzonden. In het volgende voorbeeld, 192.168.60.0/24 vertegenwoordigt de IP-adresruimte die wordt gebruikt door de getroffen ACS-apparaten, en de hosts op 192.168.100.1 worden ook beschouwd als vertrouwde Cisco Secure ACS-servers die toegang tot de getroffen apparaten vereisen. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend.
Aanvullende informatie over ACL’s is in Transit Access Control Lists: filtering op uw edge en identificatie van de effectiviteit van beveiligingsbeperkingen met Cisco IOS-software.
! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable TCP ports ! access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 2020 access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 2030 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 2020 access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 2030 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list 150 deny ip any any ! ! ! !-- Apply tACL to interface in the ingress direction ! interface GigabitEthernet0/0 ip access-group 150 in
Aanvullende informatie over tACL’s staat in Transit Access Control Lists: Filtering at Your Edge.Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
Beperking: toegangscontrolelijsten voor douanevervoer
Om het netwerk te beschermen tegen verkeer dat het netwerk ingaat op toegangspunten, die internetverbindingspunten, partner- en leverancierspunten of VPN-verbindingspunten kunnen omvatten, wordt beheerders aangeraden om transittoegangscontrolelijsten (tACL’s) te implementeren om beleidshandhaving uit te voeren. Beheerders kunnen een tACL construeren door alleen geautoriseerd verkeer expliciet toe te staan om het netwerk op access points binnen te gaan of door geautoriseerd verkeer toe te staan om door het netwerk te reizen in overeenstemming met bestaand beveiligingsbeleid en configuraties. Een tACL-tijdelijke oplossing kan geen volledige bescherming tegen deze kwetsbaarheden bieden wanneer de aanval afkomstig is van een vertrouwd bronadres.
Het tACL-beleid ontkent onbevoegde IPv4-pakketten op TCP-poorten 2020 en 2030 die naar getroffen apparaten worden verzonden. In het volgende voorbeeld, 192.168.60.0/24 vertegenwoordigt de IP-adresruimte die wordt gebruikt door de getroffen Cisco Secure ACS-apparaten, en de hosts op 192.168.100.1 worden ook beschouwd als vertrouwde Cisco Secure ACS-servers die toegang tot de getroffen apparaten vereisen. Zorg ervoor dat het vereiste verkeer voor routing en administratieve toegang is toegestaan voordat alle niet-geautoriseerde verkeer wordt ontkend.
Zie Cisco Security white paper Identification of Security Exploits met Cisco ASA, Cisco ASASM en Cisco FWSM Firewalls voor informatie over het gebruik van de opdrachtregel voor Cisco firewalls om de effectiviteit van tACL’s te meten.
! !-- Include explicit permit statements for trusted sources !-- that require access on the vulnerable TCP ports ! access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 2020 access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 2030 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! access-list tACL-Policy extended deny tcp any 192.168.60.0 0.0.0.255 eq 2020 access-list tACL-Policy extended deny tcp any 192.168.60.0 0.0.0.255 eq 2030 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list tACL-Policy extended deny ip any 192.168.60.0 0.0.0.255 !
! ! !-- Apply tACL to interfaces in the ingress direction ! access-group tACL-Policy in interface outside
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.
-
Versie Beschrijving doorsnede Datum 1 Eerste vrijgave 2014-januari-15 16:16 GMT
-
Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op de wereldwijde website van Cisco op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dit omvat instructies voor persvragen over Cisco-beveiligingsmeldingen. Alle Cisco-beveiligingsadviezen zijn beschikbaar op http://www.cisco.com/go/psirt.
-
De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.
Primaire producten Cisco-software Cisco Secure Access Control System (ACS) 5.1 (basis, 0,44) | 5.2 (Basis, 0.26, 0.26.1, 0.26.2, 0.26.3, 0.26.4, 0.26.5, 0.26.6, 0.26.7, 0.26.8, 0.26.9, 0.26.10, 0.26.11) | 5.3 (Basis, 0,6, 0,40, 0,40,1, 0,40,2, 0,40,3, 0,40,4, 0,40,5, 0,40,6, 0,40,7) | 5,4 ( 0,46,0a, 0,46,1, 0,46,2, 0,46,3)
Verwante producten
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM WAARSCHUWINGEN TE ALLEN TIJDE TE WIJZIGEN OF BIJ TE WERKEN.
Een standalone kopie of parafrase van de tekst van dit document die de distributie-URL weglaat, is een ongecontroleerde kopie en kan belangrijke informatie missen of feitelijke fouten bevatten. De informatie in dit document is bedoeld voor eindgebruikers van Cisco-producten