在Cisco ASA和FTD中发现重大影响DoS漏洞

思科刚刚在其自适应安全设备（ASA）和Firepower威胁防御（FTD）软件的会话启动协议（SIP）检查引擎中披露了一个主动利用的拒绝服务（DoS）漏洞。

安全问题可能允许潜在的远程和未经身份验证的攻击者“导致受影响的设备重新加载或触发高CPU，从而导致拒绝服务（DoS）状况。”

正如 思科在其咨询中所详述 的那样，安全问题在于会话启动协议流量的处理方式不正确，这使得攻击者可以发送恶意制作的SIP请求，旨在跨受影响的设备以高速率触发此特定漏洞。

如果启用SIP检查，则此DoS漏洞（ CVE-2018-15454 ）会影响Cisco ASA软件版本9.4及更高版本以及思科FTD软件版本6.0及更高版本。

鉴于思科自适应安全设备和Firepower威胁防御软件默认启用了SIP检查功能，因此运行它们的所有思科产品都容易受到攻击。

没有软件更新可以修复此主动利用的ASA和FTD DoS漏洞

Cisco在安全咨询中列出了以下产品：3000系列工业安全设备（ISA），ASA 5500-X系列下一代防火墙，用于Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器的ASA服务模块，自适应安全性虚拟设备（ASAv），Firepower 2100系列安全设备，Firepower 4100系列安全设备，Firepower 9300 ASA安全模块，FTD虚拟（FTDv）。

此外，思科表示没有发布软件更新，也没有找到解决此安全问题的解决方法。

幸运的是，有一些缓解措施可以避免暴露和潜在的利用，因为“思科产品安全事件响应小组（PSIRT）已经意识到对此通报中描述的漏洞的积极利用。”

思科建议阻止或回避违规主机，禁用SIP检测功能，并在运行Cisco ASA和FTW软件的所有易受攻击产品上过滤0.0.0.0的已发送地址作为缓解措施。

Linux公社的RSS地址 ： https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址： https://www.linuxidc.com/Linux/2018-11/155122.htm