威胁警报:Cisco ASA 安全产品拒绝服务漏洞(CVE-2018-15454)分析

漏洞概述

近日,思科正式发布了安全公告,以修复其自适应安全设备(ASA)和 Firepower 威胁防御(FTD)软件的会话启动协议(SIP)检查引擎中存在的一个拒绝服务(DoS)漏洞(CVE-2018-15454)。

据悉,该漏洞最初是由思科产品安全事件回应小组(PSIRT)发现的。研究人员表示,该漏洞一经利用,将允许未经授权的远程攻击者得以重新启动有漏洞的硬件,导致 DoS 攻击。如果未能重启硬件,则会持续占用 CPU 运算资源,拖慢其回应速度。为此,思科特将之列为 CVSS 得分 8.6 的 " 高危漏洞 "。

影响范围

如果启用了会话启动协议(SIP)检查,则此 DoS 漏洞会影响 Cisco ASA 软件版本 9.4 及更高版本以及思科 FTD 软件版本 6.0 及更高版本。而鉴于思科自适应安全设备(ASA)和 Firepower 威胁防御软件默认启用了 SIP 检查功能,因此运行它们的所有思科产品都容易受到攻击,具体包括:

· 3000 系列工业安全设备(ISA);

· ASA 5500-X 系列下一代防火墙;

· 适用于 Cisco Catalyst 6500 系列交换机和 Cisco 7600 系列路由器的 ASA 服务模块;

· 自适应安全虚拟设备(ASAv);

· Firepower 2100 系列安全设备;

· Firepower 4100 系列安全设备;

· Firepower 9300 ASA 安全模块;

· FTD 虚拟(FTDv);

此外,思科也已经确认该漏洞不会对以下思科产品造成影响:

· ASA 1000V 云防火墙;

· ASA 5500 系列自适应安全设备;

漏洞利用检查

管理员可以登录设备并使用 CLI 中的 show conn port 5060 命令,来确定此设备是否已经受到该漏洞影响。如果该命令的输出显示大量不完整的 SIP 连接,并且该 show process cpu-usage non-zero 命令的输出显示 CPU 使用率很高,那么管理员就可以确认此设备已经受到了漏洞(CVE-2018-15454)影响。

如果设备崩溃并再次启动,您可以使用以下命令获取崩溃信息,并将此类信息提交给思科,以确定此设备崩溃是否与漏洞利用有关:

解决方法

1. 禁用 SIP 检测

禁用 SIP 检测可以防止该漏洞造成的危害。您可以运行以下命令分别禁用 Cisco ASA 和 FTD 的 SIP 检测功能:

注意:禁用 SIP 检测也就意味着 SIP 服务将无法发挥效用,这可能会危及企业的 SIP 连线。因此,您必须事先验证该禁用操作是否会影响贵公司正常服务的运行。

2. 启用访问控制列表(ACL)

用户还可以使用访问控制列表(ACL)来阻止来自特定源 IP 地址的流量。启用 ACL 后,请确保运行以下命令来清除 EXEC 模式下源的现有连接:

此外,用户也可以使用以下命令来阻止攻击流量。但请记住,重新启动时该配置会丢失:

3. 检测将 Set-by Address 标头值设为 0.0.0.0 的流量

管理员也可以检测将 Set-by Address 标头值设为 0.0.0.0 无效值的流量。管理员应该确认网络中是否存在此类攻击流量,一旦发现威胁,管理员可以应用以下配置进行缓解:

在 FTD 6.2 或更高版本中,用户可以使用 Cisco Firepower 管理中心(FMC)通过 FlexConfig 策略添加此配置。

4. 限制 SIP 流量

通过使用模块化策略框架(MPF)设置 SIP 流量的速率限制,同样可以缓解该漏洞。

发表评论
留言与评论(共有 0 条评论)
   
验证码:

相关文章

推荐文章

'); })();