CVE-2018-15454 Cisco ASA及FTD软件拒绝服务漏洞

栏目: 编程工具 · 发布时间: 6年前

内容简介:报告编号:B6-2018-110102报告来源:360-CERT

CVE-2018-15454 Cisco ASA及FTD软件拒绝服务漏洞

报告编号:B6-2018-110102

报告来源:360-CERT

报告作者:360-CERT

更新日期:2018-11-01

0x00 事件背景

2018-10-31 Cisco官方发布安全预警,多款运行Cisco Adaptive Security Appliance (ASA)和 Cisco Firepower Threat Defense (FTD) 的设备受到影响。这两款软件均支持Session Initiation Protocol (SIP)。

在(SIP)检查引擎中的漏洞受到未经身份验证的远程攻击导致受影响的设备重新启动或持续高CPU占用率,从而导致拒绝服务(DoS)。该漏洞是由于SIP流量处理不当造成的。攻击者可以通过高速率发送特定的SIP请求到受影响的设备来利用此漏洞,导致设备崩溃重启。

0x01 影响范围

Cisco Adaptive Security Appliance (ASA) 9.4及以上 Cisco Firepower Threat Defense (FTD) 6.0及以上

影响如下设备

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4100 Series Security Appliance
  • Firepower 9300 ASA Security Module
  • FTD Virtual (FTDv)

默认情况下,Cisco ASA软件和Cisco FTD软件均启用SIP检查。所以影响较为广泛

已确认不影响如下设备

  • ASA 1000V Cloud Firewall
  • ASA 5500 Series Adaptive Security Appliances

0x02 修复建议

(ASA)设备可以通过如下命令来检查是否处于受影响的版本

ciscoasa # show version | include Version

(FTD)设备可以通过如下命令来检查是否处于受影响的版本

show version

思科官方目前提出了三种解决方案来缓解受到的影响

选项1:阻止违规主机

用户可以使用访问控制列表(ACL)阻止来自连接表中的特定源IP地址的流量。 应用ACL后,请确保在执行模式下使用clear conn address <ip_address>命令清除该源IP的现有连接。 或者,可以在执行模式下使用shun <ip_address>命令回避违规主机。 这将阻止来自该源IP的所有数据包,而无需更改配置。 但是请注意,重启该方案会失效。

选项2:禁用SIP检查

禁用SIP检查将完全避免受到该漏洞的影响。 但是它可能不适合所有用户。 如果NAT应用于SIP流量,或者如果不是通过ACL打开SIP通信所需的所有端口,禁用SIP检查将破坏SIP连接。 要禁用SIP检查,请配置以下内容: Cisco ASA软件和Cisco FTD软件版本6.2及更高版本(在FTD 6.2及更高版本中使用Cisco FMC通过FlexConfig策略添加以下内容)

Cisco ASA Software and Cisco FTD Software Releases 6.2 and later (in FTD 6.2 and later use Cisco FMC to add the following via FlexConfig policy ): policy - map global_policy class inspection_default   no inspect sip Cisco FTD Software Releases prior to 6.2 : configure inspection sip disable

选项3:过滤发送地址0.0.0.0

在许多情况下,已发现违规流量将“已发送地址”设置为无效值0.0.0.0。 如果管理员确认违规流量在其环境中拥有相同的模式(例如通过数据包捕获确认),则可以应用以下配置来防止崩溃:

regex VIAHEADER "0.0.0.0" policy-map type inspect sip P1 parameters match message-path regex VIAHEADER drop policy - map global_policy class inspection_default no inspect sip inspect sip P1

在FTD 6.2及更高版本中,使用Cisco FMC通过FlexConfig策略添加此配置。

0x03 时间线

2018-10-31 Cisco官方发布预警

2018-11-01 360CERT发布预警

0x04 参考链接

  1. Cisco 官方预警

声明:本文来自360CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

码农书籍
洞察人心

洞察人心

Steve Portigal / 张振东、蒋晓、戴传庆、孙启玉 / 电子工业出版社 / 2015-10 / 65.00元

用户在哪里,有什么需求?他们为什么会选用竞争对手的产品而不是你的?从大数据中固然能得出一些结论,但是要搞清楚作为地球上顶级复杂生物的人的真实想法,还是走近他们,面对面访谈更直接有效。 用户访谈是一项技能,与一般的交谈有本质上的区别,需要遵从一定的步骤和方法。优秀的采访者用最自然的方式和用户进行交流,看似不经意,而实际上该说什么、何时说、如何说以及什么时候应该沉默,都有精准的权衡,都试图在闲聊......一起来看看 《洞察人心》 这本书的介绍吧!

码农工具
CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

URL 编码/解码
URL 编码/解码

URL 编码/解码

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具

  • New
  • 文章
  • 话题
  • 教程
    • 关注 码农网 公众号
    版权所有,保留一切权利!© 2018-2025 码农网 粤ICP备17054400号-3