威胁警报：Cisco ASA安全产品拒绝服务漏洞（CVE-2018-15454）分析

漏洞概述

近日，思科正式发布了安全公告，以修复其自适应安全设备（ASA）和Firepower威胁防御（FTD）软件的会话启动协议（SIP）检查引擎中存在的一个拒绝服务（DoS）漏洞（CVE-2018-15454）。

据悉，该漏洞最初是由思科产品安全事件回应小组（PSIRT）发现的。研究人员表示，该漏洞一经利用，将允许未经授权的远程攻击者得以重新启动有漏洞的硬件，导致DoS攻击。如果未能重启硬件，则会持续占用CPU运算资源，拖慢其回应速度。为此，思科特将之列为CVSS得分8.6的“高危漏洞”。

影响范围

如果启用了会话启动协议（SIP）检查，则此DoS漏洞会影响Cisco ASA软件版本9.4及更高版本以及思科FTD软件版本6.0及更高版本。而鉴于思科自适应安全设备（ASA）和Firepower威胁防御软件默认启用了SIP检查功能，因此运行它们的所有思科产品都容易受到攻击，具体包括：

·3000系列工业安全设备（ISA）；

· ASA 5500-X 系列下一代防火墙；

· 适用于Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器的ASA服务模块；

· 自适应安全虚拟设备（ASAv）；

· Firepower 2100 系列安全设备；

· Firepower 4100 系列安全设备；

· Firepower 9300 ASA 安全模块；

· FTD 虚拟（FTDv）；

此外，思科也已经确认该漏洞不会对以下思科产品造成影响：

· ASA 1000V云防火墙；

· ASA 5500系列自适应安全设备；

漏洞利用检查

管理员可以登录设备并使用CLI中的show conn port 5060命令，来确定此设备是否已经受到该漏洞影响。如果该命令的输出显示大量不完整的SIP连接，并且该show process cpu-usage non-zero命令的输出显示CPU使用率很高，那么管理员就可以确认此设备已经受到了漏洞（CVE-2018-15454）影响。

如果设备崩溃并再次启动，您可以使用以下命令获取崩溃信息，并将此类信息提交给思科，以确定此设备崩溃是否与漏洞利用有关：

解决方法

1. 禁用SIP检测

禁用SIP检测可以防止该漏洞造成的危害。您可以运行以下命令分别禁用Cisco ASA和FTD的SIP检测功能：

注意：禁用SIP检测也就意味着SIP服务将无法发挥效用，这可能会危及企业的SIP连线。因此，您必须事先验证该禁用操作是否会影响贵公司正常服务的运行。

2. 启用访问控制列表（ACL）

用户还可以使用访问控制列表（ACL）来阻止来自特定源IP地址的流量。启用ACL后，请确保运行以下命令来清除EXEC模式下源的现有连接：

此外，用户也可以使用以下命令来阻止攻击流量。但请记住，重新启动时该配置会丢失：

3. 检测将Set-by Address标头值设为0.0.0.0的流量

管理员也可以检测将Set-by Address标头值设为0.0.0.0无效值的流量。管理员应该确认网络中是否存在此类攻击流量，一旦发现威胁，管理员可以应用以下配置进行缓解：

在FTD 6.2或更高版本中，用户可以使用Cisco Firepower管理中心（FMC）通过FlexConfig策略添加此配置。

4. 限制SIP流量

通过使用模块化策略框架（MPF）设置SIP流量的速率限制，同样可以缓解该漏洞。