威胁警报:Cisco ASA安全产品拒绝服务漏洞(CVE-2018-15454)分析

小二郎 漏洞 2018年11月14日发布
Favorite收藏

导语:近日,思科正式发布了安全公告,以修复其自适应安全设备(ASA)和Firepower威胁防御(FTD)软件的会话启动协议(SIP)检查引擎中存在的一个拒绝服务(DoS)漏洞(CVE-2018-15454)。

漏洞概述

近日,思科正式发布了安全公告,以修复其自适应安全设备(ASA)和Firepower威胁防御(FTD)软件的会话启动协议(SIP)检查引擎中存在的一个拒绝服务(DoS)漏洞(CVE-2018-15454)。

据悉,该漏洞最初是由思科产品安全事件回应小组(PSIRT)发现的。研究人员表示,该漏洞一经利用,将允许未经授权的远程攻击者得以重新启动有漏洞的硬件,导致DoS攻击。如果未能重启硬件,则会持续占用CPU运算资源,拖慢其回应速度。为此,思科特将之列为CVSS得分8.6的“高危漏洞”。

影响范围

如果启用了会话启动协议(SIP)检查,则此DoS漏洞会影响Cisco ASA软件版本9.4及更高版本以及思科FTD软件版本6.0及更高版本。而鉴于思科自适应安全设备(ASA)和Firepower威胁防御软件默认启用了SIP检查功能,因此运行它们的所有思科产品都容易受到攻击,具体包括:

· 3000系列工业安全设备(ISA);

· ASA 5500-X 系列下一代防火墙;

· 适用于Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器的ASA服务模块;

· 自适应安全虚拟设备(ASAv);

· Firepower 2100 系列安全设备;

· Firepower 4100 系列安全设备;

· Firepower 9300 ASA 安全模块;

· FTD 虚拟(FTDv);

此外,思科也已经确认该漏洞不会对以下思科产品造成影响:

· ASA 1000V云防火墙;

· ASA 5500系列自适应安全设备;

漏洞利用检查

管理员可以登录设备并使用CLI中的show conn port 5060命令,来确定此设备是否已经受到该漏洞影响。如果该命令的输出显示大量不完整的SIP连接,并且该show process cpu-usage non-zero命令的输出显示CPU使用率很高,那么管理员就可以确认此设备已经受到了漏洞(CVE-2018-15454)影响。

如果设备崩溃并再次启动,您可以使用以下命令获取崩溃信息,并将此类信息提交给思科,以确定此设备崩溃是否与漏洞利用有关:

img_5be94bc52f8d0.png

解决方法

1. 禁用SIP检测

禁用SIP检测可以防止该漏洞造成的危害。您可以运行以下命令分别禁用Cisco ASA和FTD的SIP检测功能:

img_5be94bf6d8fcf.png

注意:禁用SIP检测也就意味着SIP服务将无法发挥效用,这可能会危及企业的SIP连线。因此,您必须事先验证该禁用操作是否会影响贵公司正常服务的运行。

2. 启用访问控制列表(ACL)

用户还可以使用访问控制列表(ACL)来阻止来自特定源IP地址的流量。启用ACL后,请确保运行以下命令来清除EXEC模式下源的现有连接:

img_5be94c668447d.png

 此外,用户也可以使用以下命令来阻止攻击流量。但请记住,重新启动时该配置会丢失:

img_5be94c9870d5f.png

3. 检测将Set-by Address标头值设为0.0.0.0的流量

管理员也可以检测将Set-by Address标头值设为0.0.0.0无效值的流量。管理员应该确认网络中是否存在此类攻击流量,一旦发现威胁,管理员可以应用以下配置进行缓解:

img_5be94ccb484b4.png

在FTD 6.2或更高版本中,用户可以使用Cisco Firepower管理中心(FMC)通过FlexConfig策略添加此配置。

4. 限制SIP流量

通过使用模块化策略框架(MPF)设置SIP流量的速率限制,同样可以缓解该漏洞。

本文翻译自:http://blog.nsfocusglobal.com/threats/vulnerability-analysis/cisco-asa-security-product-denial-of-service-vulnerability-cve-2018-15454-threat-alert/?utm_source=hs_email如若转载,请注明原文地址: http://www.4hou.com/vulnerable/14517.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论