思科剛剛在其自適應安全裝置（ASA）和Firepower威脅防禦（FTD）軟體的會話啟動協議（SIP）檢查引擎中披露了一個主動利用的拒絕服務（DoS）漏洞。

安全問題可能允許潛在的遠端和未經身份驗證的攻擊者“導致受影響的裝置重新載入或觸發高CPU，從而導致拒絕服務（DoS）狀況。”

正如思科在其諮詢中所詳述的那樣，安全問題在於會話啟動協議流量的處理方式不正確，這使得攻擊者可以傳送惡意製作的SIP請求，旨在跨受影響的裝置以高速率觸發此特定漏洞。

如果啟用SIP檢查，則此DoS漏洞（CVE-2018-15454）會影響Cisco ASA軟體版本9.4及更高版本以及思科FTD軟體版本6.0及更高版本。

鑑於思科自適應安全裝置和Firepower威脅防禦軟體預設啟用了SIP檢查功能，因此執行它們的所有思科產品都容易受到攻擊。

沒有軟體更新可以修復此主動利用的ASA和FTD DoS漏洞

Cisco在安全諮詢中列出了以下產品：3000系列工業安全裝置（ISA），ASA 5500-X系列下一代防火牆，用於Cisco Catalyst 6500系列交換機和Cisco 7600系列路由器的ASA服務模組，自適應安全性虛擬裝置（ASAv），Firepower 2100系列安全裝置，Firepower 4100系列安全裝置，Firepower 9300 ASA安全模組，FTD虛擬（FTDv）。

此外，思科表示沒有釋出軟體更新，也沒有找到解決此安全問題的解決方法。

幸運的是，有一些緩解措施可以避免暴露和潛在的利用，因為“思科產品安全事件響應小組（PSIRT）已經意識到對此通報中描述的漏洞的積極利用。”

思科建議阻止或迴避違規主機，禁用SIP檢測功能，並在執行Cisco ASA和FTW軟體的所有易受攻擊產品上過濾0.0.0.0的已傳送地址作為緩解措施。