-
Dit Toegepaste Mitigation Bulletin is een begeleidend document bij de PSIRT Security Advisory Multiple Vulnerabilities in Cisco IOS XE-software voor Cisco ASR 1000 Series, Cisco ISR 4400 Series en Cisco Cloud Services 1000v Series routers en biedt identificatie- en mitigatietechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.
Dit document biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren. De in dit document gepresenteerde technieken zijn alleen van toepassing op twee kwetsbaarheden voor de Cisco IOS XE-softwarelaag 4 Redirect Crafted Packet Denial of Service - kwetsbaarheid
Cisco IOS XE-softwarerelease Crafted TCP-pakketafstandsbediening voor kwetsbaarheid en Cisco IOS XE-software voor Common Flow Table Crafted Packet Denial of Service.
-
Er zijn meerdere kwetsbaarheden in Cisco IOS XE. De volgende subsecties vatten deze kwetsbaarheden samen:
Vulbaarheid van Cisco IOS XE-software Common Flow Table Crafted Packet Denial of Service: deze kwetsbaarheid kan op afstand worden benut zonder verificatie en zonder interactie met de eindgebruiker. Succesvolle benutting van deze kwetsbaarheid kan resulteren in een denial of service (DoS)-conditie. Herhaalde pogingen om gebruik te maken van deze kwetsbaarheid kunnen resulteren in een aanhoudende DoS-conditie. De aanvalsvector voor exploitatie is via vervaardigde TCP- of UDP-pakketten via Internet Protocol versie 4 (IPv4). Een aanvaller kon deze kwetsbaarheid exploiteren met spoofed pakketten.
Aan deze kwetsbaarheid is de code CVE-2015-0639 van de Common Vulnerabilities and Exposations (CVE) toegekend.
Cisco IOS XE-softwarerelease Crafted TCP-pakketafstandsbediening kwetsbaarheid : Deze kwetsbaarheid kan op afstand worden geëxploiteerd zonder authenticatie en zonder interactie met de eindgebruiker. Succesvolle benutting van deze kwetsbaarheid kan willekeurige codeuitvoering op het getroffen systeem of een ontkenning van de dienst (Dos) voorwaarde toestaan. Herhaalde pogingen om gebruik te maken van deze kwetsbaarheid kunnen resulteren in een aanhoudende DoS-conditie. De aanvalsvector voor exploitatie is via bewerkte TCP-pakketten.
Aan deze kwetsbaarheid is de code CVE-2015-0644 van de Common Vulnerabilities and Exposations (CVE) toegekend.
Cisco IOS XE-softwarelaag 4 Redirect Crafted Packet Denial of Service - kwetsbaarheid: deze kwetsbaarheid kan op afstand worden benut zonder verificatie en zonder interactie met de eindgebruiker. Succesvolle benutting van deze kwetsbaarheid kan resulteren in een denial of service (DoS)-conditie. Herhaalde pogingen om gebruik te maken van deze kwetsbaarheid kunnen resulteren in een aanhoudende DoS-conditie. De aanvalsvector voor exploitatie is via bewerkte TCP-pakketten.
Aan deze kwetsbaarheid is de CVE-code CVE-2015-0645 toegekend.
-
Informatie over kwetsbare, onaangetaste en vaste software is beschikbaar in Cisco Security Advisory, dat beschikbaar is via de volgende link: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150325-iosxe.
-
Cisco-apparaten bieden verschillende tegenmaatregelen voor deze kwetsbaarheid. Beheerders wordt aangeraden deze beveiligingsmethoden te beschouwen als algemene best practices op het gebied van beveiliging van infrastructuurapparaten en het verkeer dat het netwerk doorkruist. In dit gedeelte van het document wordt een overzicht van deze technieken gegeven.
Cisco IOS-software kan effectieve middelen voor explosiepreventie bieden door gebruik te maken van de volgende methoden:
- IOS zone-gebaseerde en gebruikersgebaseerde firewall
- Unicast Reverse Path Forwarding (uRPF)
- IP-bronbeveiliging (IPSG)
Deze beschermingsmechanismen filteren en vallen, evenals verifiëren het bron IP adres van, pakketten die proberen om deze kwetsbaarheden te exploiteren.
De juiste implementatie en configuratie van uRPF biedt een effectieve bescherming tegen aanvallen die pakketten met IP-adressen van gespoofde bronnen gebruiken. uRPF moet zo dicht mogelijk bij alle verkeersbronnen worden geïmplementeerd.
De juiste plaatsing en configuratie van IPSG biedt een effectief middel tegen spoofingaanvallen op de toegangslaag.
Effectieve middelen voor explosiepreventie kunnen ook worden geleverd door de Cisco ASA 5500 en 5500-X Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers met het volgende:
- uRPF
- TCP-normalisatie
Deze beschermingsmechanismen filteren en vallen, evenals verifiëren het bron IP adres van, pakketten die proberen om deze kwetsbaarheden te exploiteren.
De Cisco ACE-applicatie en module voor Application Control Engine kan ook zorgen voor effectieve middelen voor explosiepreventie door gebruik te maken van TCP-normalisatie.
Dit beschermingsmechanisme filtert en laat pakketten vallen die proberen om één van de kwetsbaarheden te exploiteren.
Effectief gebruik van de gebeurtenisacties van Cisco Inbraakpreventiesysteem (IPS) biedt zichtbaarheid in en bescherming tegen aanvallen die proberen deze kwetsbaarheid te exploiteren.
-
Organisaties wordt aangeraden hun standaard risicobeoordelings- en risicobeperkingsprocessen te volgen om de potentiële impact van deze kwetsbaarheden te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.
-
Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.
Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:
- Cisco IOS-routers en -Switches
- Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
- Cisco ACE
- Cisco-inbraakpreventiesysteem
Cisco IOS-routers en -Switches
De Cisco IOS-software voert standaard verschillende pakketcontroles uit op transitverkeer. Bijvoorbeeld, het verifieert de IP kopbalcorrectheid van een pakket. Een Cisco IOS-apparaat dat actief verkeer verwerkt, zal standaard samengestelde pakketten identificeren en neerzetten die proberen CVE-2015-0645 te exploiteren. De bescherming tegen pakketten die deze kwetsbaarheid kunnen exploiteren is een niet configureerbare actie: geen configuratieveranderingen worden vereist om deze functionaliteit toe te laten.Beperking: op IOS Zone gebaseerde en gebruikersgebaseerde firewall
Vanaf Cisco IOS-softwarerelease 12.4(6)T is ZFW (Zone-Based Policy Firewall) in de plaats gekomen van Cisco IOS Context-Based Access Control (CBAC). Het biedt granularity van de toepassing van het firewallbeleid, en een gebrek ontkennen-al beleid dat verkeer tussen firewall veiligheidszones verbiedt tot een expliciet beleid wordt toegepast om wenselijk verkeer toe te staan.
In Cisco IOS ZFW stellen zones de beveiligingsranden van het netwerk in. Een zone definieert een grens waar verkeer aan beleidsbeperkingen wordt onderworpen wanneer het naar een ander gebied van uw netwerk gaat. Het standaardbeleid van ZFW tussen zones is om al het verkeer te ontkennen. Als er geen beleid expliciet is geconfigureerd, wordt al het verkeer dat probeert te verplaatsen tussen zones geblokkeerd. ZFW gebruikt een taal voor configuratiebeleid die bekend staat als Cisco Policy Language (CPL). Gebruikers die bekend zijn met de Cisco IOS-softwarerelease Modular Quality-of-Service (QoS) CLI (MQC) kunnen herkennen dat het formaat vergelijkbaar is met de manier waarop klassekaarten in een QoS-configuratie worden gebruikt om aan te geven welk verkeer wordt beïnvloed door de actie die in een beleidskaart wordt toegepast. Cisco IOS ZFW ondersteunt stateful Layer 4 IPv4- en IPv6-inspecties en kan ook toepassingsspecifieke inspectie, stateful firewall-failover, verificatieproxy, beperking van serviceweigering (DoS), URL-filtering en meer bieden.
Cisco IOS ZFW zal pakketten identificeren en neerzetten die proberen gebruik te maken van CVE-2015-0639.
Raadpleeg voor configuratievoorbeelden de configuratiedocumenten van de IOS ZBF Set-by-Step Configuration en de configuratie van de IPv6 Zone Based Firewall (ZFW) in de Cisco Support Community en Cisco Configuration Professional: Zone-Based Firewall Blocking Peer to Peer Traffic Configuration Voorbeeld. Raadpleeg de Zone-Based Policy Firewall Design and Application Guide voor meer informatie over Cisco IOS ZBF.
Geïntroduceerd in Cisco IOS-softwarereleases 12.4(20)T kan de IOS User-Based Firewall-functie identiteit of op gebruikersgroepen gebaseerde beveiliging bieden die gedifferentieerde toegang voor verschillende gebruikersklassen biedt. De classificatie kan worden verstrekt op basis van gebruikersidentiteit, apparatentype (bijvoorbeeld, IP telefoons), plaats (bijvoorbeeld, bouw) en rol (bijvoorbeeld, ingenieur).
Het Cisco IOS-firewallbeleid dat de toegang tot de protocollen en poorten of filtertoepassingen blokkeert, kan per gebruiker of gebruikersgroep worden geconfigureerd met behulp van de gebruikersgebaseerde firewallfunctie.
Raadpleeg voor meer informatie over Cisco User-Based Firewall de User Based Firewall Support Guide en de bijbehorende functieinformatie voor gebruikersgebaseerde firewallondersteuning.Beperken: bescherming tegen spoofing
Unicast doorsturen van omgekeerde paden
CVE-2015-0645 die in dit document wordt beschreven, kan worden gebruikt door gespoofde IP-pakketten. Beheerders kunnen Unicast Reverse Path Forwarding (uRPF) implementeren en configureren als een beschermingsmechanisme tegen spoofing.
uRPF is ingesteld op interfaceniveau en kan pakketten detecteren en neerzetten die geen verifieerbaar IP-bronadres hebben. Beheerders dienen niet te vertrouwen op uRPF om volledige bescherming tegen spoofing te bieden, omdat spoofed-pakketten het netwerk via een uRPF-enabled interface kunnen binnenkomen als er een geschikte retourroute naar het bron-IP-adres bestaat. Beheerders wordt aangeraden om ervoor te zorgen dat de juiste uRPF-modus (los of strikt) wordt geconfigureerd tijdens de implementatie van deze functie, omdat legitiem verkeer dat het netwerk doorkruist kan worden uitgeschakeld. In een ondernemingsmilieu, kan uRPF bij de rand van Internet en de interne toegangslaag op gebruiker-ondersteunende Layer 3 worden toegelaten interfaces.
Voor extra informatie over de configuratie en het gebruik van uRPF, raadpleegt u het Witboek Understanding Unicast Reverse Path Forwarding Cisco Security Intelligence Operations.
IP-bronbeveiliging
IP Source Guard (IPSG) is een beveiligingsfunctie die IP-verkeer op niet-gerouteerde, Layer 2-interfaces beperkt door pakketten te filteren op basis van de bindende database met DHCP-snooping en handmatig ingestelde IP-bronbindingen. Beheerders kunnen IPSG gebruiken om aanvallen te voorkomen van een aanvaller die probeert pakketten te parasiteren door het IP-bronadres en/of het MAC-adres te vervalsen. Wanneer correct geïmplementeerd en geconfigureerd, biedt IPSG in combinatie met de strikte modus uRPF de meest effectieve bescherming tegen spoofing voor CVE-2015-0645 die in dit document wordt beschreven.
Aanvullende informatie over de implementatie en configuratie van IPSG is te vinden in Configureren DHCP-functies en IP Source Guard.
Raadpleeg voor informatie over het gebruik van de IOS-opdrachtregelinterface om de effectiviteit van spoofingbescherming te meten het Cisco Security Intelligence Operations-witboek waarin de effectiviteit van beveiligingsbeperkingen met Cisco IOS-software wordt geïdentificeerd.Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
De Cisco ASA-software voert standaard verschillende pakketcontroles uit op transitverkeer. Bijvoorbeeld, het verifieert de IP kopbalcorrectheid van een pakket. Een Cisco ASA actief inspecterend verkeer zal standaard het gemaakte pakket identificeren en neerzetten dat probeert om CVE-2015-0645 te exploiteren. De bescherming tegen pakketten die deze kwetsbaarheid kunnen exploiteren is een niet configureerbare actie: geen configuratieveranderingen worden vereist om deze functionaliteit toe te laten.Beperking: bescherming tegen spoofing met Unicast Reverse Path Forwarding
CVE-2015-0645 die in dit document wordt beschreven, kan worden gebruikt door gespoofde IP-pakketten. Beheerders kunnen uRPF implementeren en configureren als een beschermingsmechanisme tegen spoofing.
uRPF is ingesteld op interfaceniveau en kan pakketten detecteren en neerzetten die geen verifieerbaar IP-bronadres hebben. Beheerders dienen niet te vertrouwen op uRPF om volledige bescherming tegen spoofing te bieden, omdat spoofed-pakketten het netwerk via een uRPF-enabled interface kunnen binnenkomen als er een geschikte retourroute naar het bron-IP-adres bestaat. In een ondernemingsmilieu, kan uRPF bij de rand van Internet en bij de interne toegangslaag op gebruiker-ondersteunende Layer 3 interfaces worden toegelaten.
Voor extra informatie over de configuratie en het gebruik van uRPF, raadpleegt u de Cisco Security Appliance Command Reference for IP om het omgekeerde pad te verifiëren en het Unicast Reverse Path Forwarding Cisco Security Intelligence Operations -witboek te begrijpen.
Raadpleeg voor informatie over het gebruik van de interface van de opdrachtregel voor firewalls om de effectiviteit van spoofingbescherming te meten de Cisco Security Intelligence Operations Identification of Security Exploits met Cisco ASA, Cisco ASM en Cisco FWSM Firewalls.Beperken: TCP-normalisatie
De TCP-normalisatiefunctie identificeert abnormale pakketten waarop het security apparaat kan reageren wanneer ze worden gedetecteerd; het security apparaat kan bijvoorbeeld de pakketten toestaan, laten vallen of wissen. De TCP-normalizer bevat niet-configureerbare acties en configureerbare acties. Meestal zijn niet-configureerbare acties die verbindingen laten vallen of verwijderen van toepassing op pakketten die als kwaadaardig worden beschouwd. TCP-normalisatie is beschikbaar vanaf softwarerelease 7.0(1) voor Cisco ASA 5500 Series adaptieve security applicatie, softwarerelease 8.5 voor Cisco Catalyst 6500 Series ASA servicesmodule en in softwarerelease 3.1(1) voor Cisco Firewall Services Module.
TCP-normalisatie is standaard ingeschakeld en laat pakketten vallen die CVE-2015-0639 kunnen exploiteren. De bescherming tegen pakketten die deze kwetsbaarheid kunnen exploiteren is een niet configureerbare normalisatieactie van TCP: geen configuratieveranderingen worden vereist om deze functionaliteit toe te laten.
Aanvullende informatie over TCP-normalisatie vindt u in de sectie Verbindingsbeperkingen en Time-outs van Boek 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.2.
Zie Cisco Security Intelligence Operations Identification of Security Exploits met Cisco ASA, Cisco ASM en Cisco FWSM Firewalls voor informatie over het gebruik van de interface met de opdrachtregel voor firewalls (CLI) om de effectiviteit van de TCP-normalisatie te meten.Cisco ACE
Beperken: TCP-normalisatie
TCP-normalisatie is een Layer 4-functie die bestaat uit een reeks controles die Cisco ACE uitvoert in verschillende fasen van een stroom, vanaf de eerste verbindingsinstelling tot en met het sluiten van een verbinding. Veel van de segmentcontroles kunnen worden gecontroleerd of gewijzigd door een of meer geavanceerde TCP-verbindingsinstellingen te configureren. Cisco ACE gebruikt deze TCP-verbindingsinstellingen om te beslissen welke controles moeten worden uitgevoerd en of een TCP-segment moet worden verworpen op basis van de resultaten van de controles. Cisco ACE verwerpt segmenten die abnormaal of misvormd lijken te zijn.
TCP-normalisatie is standaard ingeschakeld en laat pakketten vallen die CVE-2015-0639 kunnen exploiteren. De bescherming tegen pakketten die deze kwetsbaarheid kunnen exploiteren is een niet configureerbare normalisatieactie van TCP; geen configuratieveranderingen worden vereist om deze functionaliteit toe te laten.
Aanvullende informatie over TCP-normalisatie vindt u in het gedeelte Configuration TCP/IP Normalization and IP Reassembler Parameters van de Security Guide vA5(1.0), Cisco ACE Application Control Engine.
Cisco-inbraakpreventiesysteem
Beperken: Cisco IPS-handtekeningtabel
Beheerders kunnen de Cisco IPS-apparaten en servicesmodules gebruiken om bedreigingsdetectie te bieden en pogingen te voorkomen om verschillende van de kwetsbaarheden te exploiteren die in dit document worden beschreven. De volgende tabel geeft een overzicht van de CVE-identificatiecodes en de respectieve IPS-handtekeningen van Cisco die gebeurtenissen op potentiële pogingen om deze kwetsbaarheid te exploiteren, zullen activeren.
CVE-id Handtekeningrelease Handtekening-ID Handtekeningnaam Ingeschakeld Ernst Fidelity* CVE-2015-0644 S858 5094/0 Cisco IOS XE-softwarerelease Denial of Service Ja Gemiddeld 85
* Fidelity wordt ook aangeduid als Signature Fidelity Rating (SFR) en is de relatieve maat van de nauwkeurigheid van de handtekening (vooraf gedefinieerd). De waarde varieert van 0 tot 100 en wordt ingesteld door Cisco Systems, Inc.
Beheerders kunnen Cisco IPS-sensoren configureren om een gebeurtenisactie uit te voeren wanneer een aanval wordt gedetecteerd. De geconfigureerde gebeurtenisactie voert preventieve of afschrikkende controles uit om te helpen beschermen tegen een aanval die probeert de kwetsbaarheden te exploiteren die in de vorige tabel zijn vermeld.
Explosies die gespoofde IP-adressen gebruiken kunnen ervoor zorgen dat een geconfigureerde gebeurtenisactie per ongeluk verkeer van vertrouwde bronnen ontkent.
Cisco IPS-sensoren zijn het meest effectief wanneer ze worden ingezet in inline beschermingsmodus in combinatie met het gebruik van een gebeurtenisactie. Automatische bedreigingspreventie voor Cisco IPS 7.x- en 6.x-sensoren die in de inline-beschermingsmodus worden geïmplementeerd, biedt bedreigingspreventie tegen een aanval die probeert te profiteren van de kwetsbaarheid die in dit document wordt beschreven. De preventie van de bedreiging wordt bereikt door een standaardopheffing die een gebeurtenisactie voor teweeggebrachte handtekeningen met een riskRatingValue groter dan 90 uitvoert.
Voor aanvullende informatie over de risicorating en de berekening van de dreigingswaardering, de referentie Risicorating en de dreigingswaardering: Vereenvoudig IPS-beleidsbeheer.
Zie Identificatie van kwaadaardig verkeer met Cisco Security Manager voor informatie over het gebruik van Cisco Security Manager om de activiteit van een Cisco IPS-sensor te bekijken.
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.
-
Versie Beschrijving doorsnede Datum 1 Eerste vrijgave 2015-maart-25 16:01 GMT
-
Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op de wereldwijde website van Cisco op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dit omvat instructies voor persvragen over Cisco-beveiligingsmeldingen. Alle Cisco-beveiligingsadviezen zijn beschikbaar op http://www.cisco.com/go/psirt.
-
De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.
Primaire producten Cisco-software Cisco IOS XE-software 3.1S (3.1.0S, 3.1.1S, 3.1.2S, 3.1.3S, 3.1.4S, 3.1.5S, 3.1.6S) | 3.2S (3.2.0S, 3.2.1S, 3.2.2S, 3.2.3S) | 3,3S (3,3,0S, 3,3,1S, 3,3,2S) | 3.4S (3.4.0S, 3.4.1S, 3.4.2S, 3.4.3S, 3.4.4S, 3.4.5S, 3.4.6S) | 3.5S (basis, 3.5.0S, 3.5.1S, 3.5.2S) | 3.6S (basis, 3.6.0S, 3.6.1S, 3.6.2S) | 3.7S (basis, 3.7.0S, 3.7.1S, 3.7.2S, 3.7.3S, 3.7.4S, 3.7.5S, 3.7.6S, 3.7.7S) | 3.8S (basis, 3.8.0s, 3.8.1S) | 3,9 S (3,9 S, 3,9,1 S) | 3,10S (3,10,0aS)
Verwante producten
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM WAARSCHUWINGEN TE ALLEN TIJDE TE WIJZIGEN OF BIJ TE WERKEN.
Een standalone kopie of parafrase van de tekst van dit document die de distributie-URL weglaat, is een ongecontroleerde kopie en kan belangrijke informatie missen of feitelijke fouten bevatten. De informatie in dit document is bedoeld voor eindgebruikers van Cisco-producten