思科曝拒絕服務漏洞,工業安全裝置、防火牆等多款產品受影響
思科(Cisco)在上週公開披露了一個嚴重的安全漏洞,該漏洞可能會觸發受影響裝置的重啟,也就是說它為攻擊者執行拒絕服務(DoS)攻擊創造了條件。
根據思科 ofollow,noindex" target="_blank">安全諮詢 的描述,這個漏洞存在於均支援會話啟動協議(SIP)的思科自適應安全裝置(ASA)軟體和Firepower威脅防禦(FTD)軟體中,使得執行這兩款軟體的裝置易受到未經身份驗證的遠端攻擊,導致裝置重啟或保持高CPU佔用率,從而導致裝置崩潰。
目前,沒有針對該漏洞的修復補丁或解決方案可用,但思科在其安全諮詢中還是提供了幾種方法,可以用作臨時的緩解措施。
漏洞可遠端利用,且無需身份驗證
這個漏洞被標識為CVE-2018-15454,存在於ASA和FTD軟體中預設開啟的SIP協議檢查引擎中。
如果沒有導致裝置重啟或崩潰,也會導致裝置保持在一個很高的CPU使用率,進而導致裝置執行速度降低,無法完成一些設定的任務。
根據思科釋出的安全諮詢,該漏洞可以被遠端利用,而且不需要身份驗證。
該安全諮詢寫道:“該漏洞是由於對SIP流量的不當處理造成的,攻擊者可以通過傳送可以通過高速率傳送特定的SIP請求到受影響的裝置來利用此漏洞。”
ASA 9.4、FTD6.0及更高版本受影響,涵蓋多款產品
該漏洞的CVSS評分為8.6,屬於一個高危險係數(High)漏洞,影響到思科ASA軟體版本9.4及更高版本,以及思科FTD軟體版本6.0及更高版本。在啟用SIP檢查之後,該漏洞就將變為可利用狀態,這對於物理和虛擬裝置均是如此。
總的來說,受該漏洞影響的思科裝置包括以下八類產品:
- 3000系列工業安全裝置(ISA)
- 適用於Cisco Catalyst 6500系列交換機和Cisco 7600系列路由器的ASA服務模組
- 自適應安全虛擬裝置(ASAv)
- ASA 5500-X系列下一代防火牆
- Firepower 9300 ASA安全模組
- 虛擬FTD(FTDv)
- Firepower 2100系列安全裝置
- Firepower 4100系列安全裝置
暫無修復補丁或更新可用,思科已提供臨時緩解措施
目前,沒有針對該漏洞的修復補丁或解決方案可用。但是,思科已經提供了一些方法來作為臨時緩解措施。
第一種方法是禁用SIP檢查,但在許多情況下這是不可行的,因為它可能會破壞SIP連線。
第二種方法是通過使用訪問控制列表(ACL)來阻止來自非法IP地址的流量, 或者在執行EXEC模式下使用“shun”命令來阻止來自攻擊者IP的流量。當然,它們都不會是長久辦法。
第三種方法涉及到過濾IP地址0.0.0.0,因為思科發現在大多數漏洞利用案例中都存在該地址。
最後一種方法則是通過模組化策略框架(MPF)來實現SIP流量的速率限制。
在思科推出針對CVE-2018-15454的修復補丁或更新之前,我們建議各位使用者可以將上述方法都試一遍,並時刻留意思科的官方公告。
宣告:本文來自黑客視界,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。