CVE-2018-15454 Cisco ASA及FTD軟體拒絕服務漏洞
報告編號:B6-2018-110102
報告來源:360-CERT
報告作者:360-CERT
更新日期:2018-11-01
0x00 事件背景
2018-10-31 Cisco官方釋出安全預警,多款執行Cisco Adaptive Security Appliance (ASA)和 Cisco Firepower Threat Defense (FTD) 的裝置受到影響。這兩款軟體均支援Session Initiation Protocol (SIP)。
在(SIP)檢查引擎中的漏洞受到未經身份驗證的遠端攻擊導致受影響的裝置重新啟動或持續高CPU佔用率,從而導致拒絕服務(DoS)。該漏洞是由於SIP流量處理不當造成的。攻擊者可以通過高速率傳送特定的SIP請求到受影響的裝置來利用此漏洞,導致裝置崩潰重啟。
0x01 影響範圍
Cisco Adaptive Security Appliance (ASA) 9.4及以上 Cisco Firepower Threat Defense (FTD) 6.0及以上
影響如下裝置
- 3000 Series Industrial Security Appliance (ISA)
- ASA 5500-X Series Next-Generation Firewalls
- ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
- Adaptive Security Virtual Appliance (ASAv)
- Firepower 2100 Series Security Appliance
- Firepower 4100 Series Security Appliance
- Firepower 9300 ASA Security Module
- FTD Virtual (FTDv)
預設情況下,Cisco ASA軟體和Cisco FTD軟體均啟用SIP檢查。所以影響較為廣泛
已確認不影響如下裝置
- ASA 1000V Cloud Firewall
- ASA 5500 Series Adaptive Security Appliances
0x02 修復建議
(ASA)裝置可以通過如下命令來檢查是否處於受影響的版本
ciscoasa # show version | include Version
(FTD)裝置可以通過如下命令來檢查是否處於受影響的版本
show version
思科官方目前提出了三種解決方案來緩解受到的影響
選項1:阻止違規主機
使用者可以使用訪問控制列表(ACL)阻止來自連線表中的特定源IP地址的流量。 應用ACL後,請確保在執行模式下使用clear conn address <ip_address>命令清除該源IP的現有連線。 或者,可以在執行模式下使用shun <ip_address>命令迴避違規主機。 這將阻止來自該源IP的所有資料包,而無需更改配置。 但是請注意,重啟該方案會失效。
選項2:禁用SIP檢查
禁用SIP檢查將完全避免受到該漏洞的影響。 但是它可能不適合所有使用者。 如果NAT應用於SIP流量,或者如果不是通過ACL開啟SIP通訊所需的所有埠,禁用SIP檢查將破壞SIP連線。 要禁用SIP檢查,請配置以下內容: Cisco ASA軟體和Cisco FTD軟體版本6.2及更高版本(在FTD 6.2及更高版本中使用Cisco FMC通過FlexConfig策略新增以下內容)
Cisco ASA Software and Cisco FTD Software Releases 6.2 and later (in FTD 6.2 and later use Cisco FMC to add the following via FlexConfig policy ): policy - map global_policy class inspection_default no inspect sip Cisco FTD Software Releases prior to 6.2 : configure inspection sip disable
選項3:過濾傳送地址0.0.0.0
在許多情況下,已發現違規流量將“已傳送地址”設定為無效值0.0.0.0。 如果管理員確認違規流量在其環境中擁有相同的模式(例如通過資料包捕獲確認),則可以應用以下配置來防止崩潰:
regex VIAHEADER "0.0.0.0" policy-map type inspect sip P1 parameters match message-path regex VIAHEADER drop policy - map global_policy class inspection_default no inspect sip inspect sip P1
在FTD 6.2及更高版本中,使用Cisco FMC通過FlexConfig策略新增此配置。
0x03 時間線
2018-10-31 Cisco官方釋出預警
2018-11-01 360CERT釋出預警
0x04 參考連結
- ofollow,noindex">Cisco 官方預警
宣告:本文來自360CERT,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。