漏洞概述

近日，思科正式发布了安全公告，以修复其自适应安全设备（ASA）和 Firepower 威胁防御（FTD）软件的会话启动协议（SIP）检查引擎中存在的一个拒绝服务（DoS）漏洞（CVE-2018-15454）。

据悉，该漏洞最初是由思科产品安全事件回应小组（PSIRT）发现的。研究人员表示，该漏洞一经利用，将允许未经授权的远程攻击者得以重新启动有漏洞的硬件，导致 DoS 攻击。如果未能重启硬件，则会持续占用 CPU 运算资源，拖慢其回应速度。为此，思科特将之列为 CVSS 得分 8.6 的 " 高危漏洞 "。

影响范围

如果启用了会话启动协议（SIP）检查，则此 DoS 漏洞会影响 Cisco ASA 软件版本 9.4 及更高版本以及思科 FTD 软件版本 6.0 及更高版本。而鉴于思科自适应安全设备（ASA）和 Firepower 威胁防御软件默认启用了 SIP 检查功能，因此运行它们的所有思科产品都容易受到攻击，具体包括：

· 3000 系列工业安全设备（ISA）；

· ASA 5500-X 系列下一代防火墙；

· 适用于 Cisco Catalyst 6500 系列交换机和 Cisco 7600 系列路由器的 ASA 服务模块；

· 自适应安全虚拟设备（ASAv）；

· Firepower 2100 系列安全设备；

· Firepower 4100 系列安全设备；

· Firepower 9300 ASA 安全模块；

· FTD 虚拟（FTDv）；

此外，思科也已经确认该漏洞不会对以下思科产品造成影响：

· ASA 1000V 云防火墙；

· ASA 5500 系列自适应安全设备；

漏洞利用检查

管理员可以登录设备并使用 CLI 中的 show conn port 5060 命令，来确定此设备是否已经受到该漏洞影响。如果该命令的输出显示大量不完整的 SIP 连接，并且该 show process cpu-usage non-zero 命令的输出显示 CPU 使用率很高，那么管理员就可以确认此设备已经受到了漏洞（CVE-2018-15454）影响。

如果设备崩溃并再次启动，您可以使用以下命令获取崩溃信息，并将此类信息提交给思科，以确定此设备崩溃是否与漏洞利用有关：

解决方法

1. 禁用 SIP 检测

禁用 SIP 检测可以防止该漏洞造成的危害。您可以运行以下命令分别禁用 Cisco ASA 和 FTD 的 SIP 检测功能：

注意：禁用 SIP 检测也就意味着 SIP 服务将无法发挥效用，这可能会危及企业的 SIP 连线。因此，您必须事先验证该禁用操作是否会影响贵公司正常服务的运行。

2. 启用访问控制列表（ACL）

用户还可以使用访问控制列表（ACL）来阻止来自特定源 IP 地址的流量。启用 ACL 后，请确保运行以下命令来清除 EXEC 模式下源的现有连接：

此外，用户也可以使用以下命令来阻止攻击流量。但请记住，重新启动时该配置会丢失：

3. 检测将 Set-by Address 标头值设为 0.0.0.0 的流量

管理员也可以检测将 Set-by Address 标头值设为 0.0.0.0 无效值的流量。管理员应该确认网络中是否存在此类攻击流量，一旦发现威胁，管理员可以应用以下配置进行缓解：

在 FTD 6.2 或更高版本中，用户可以使用 Cisco Firepower 管理中心（FMC）通过 FlexConfig 策略添加此配置。

4. 限制 SIP 流量

通过使用模块化策略框架（MPF）设置 SIP 流量的速率限制，同样可以缓解该漏洞。