近日,Cisco官方发布了Adaptive Security Appliance(ASA)软件及Firepower Threat Defense(FTD)软件拒绝服务漏洞(CVE-2018-15454)的安全通告。 此漏洞存在于软件检测引擎的会话发起协议(ISP),未授权的攻击者可远程利用此漏洞实现设备重载或触发高CPU,造成设备拒绝服务。
预警编号:NS-2018-0034
危害等级:中,此漏洞影响思科产品,目前官方暂未提供补丁,攻击者通过此漏洞可实现拒绝服务攻击,且已发现在野利用。
参考链接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181031-asaftd-sip-dos
影响范围
满足以下条件,则判断可能受此漏洞影响:
- SIP inspection处于开启状态
- 运行在下列受影响的任一思科产品上:
- Cisco ASA Software >=9.4 || Cisco FTD Software >=6.0
- 3000系列工业安全设备(ISA)
- ASA 5500-X系列下一代防火墙
- 适用于Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器的ASA服务模块
- 自适应安全虚拟设备(ASAv)
- Firepower 2100系列安全设备
- Firepower 4100系列安全设备
- Firepower 9300 ASA安全模块
- FTD虚拟(FTDv)
官方确认不受影响产品:
- ASA 1000V云防火墙
- ASA 5500系列自适应安全设备
漏洞排查
版本自查
Cisco ASA Software版本自查
管理员用户可以登录到设备后在CLI中输入show version来查询设备版本,通过影响版本判断设备是否在影响范围内。
若设备通过Cisco Adaptive Security Device Manager (ASDM)进行管理,管理员也可通过引用Cisco ASDM登录窗口,或Cisco asdm主页的设备仪表板选项卡中的信息来确定当前版本。
Cisco FTD Software Release版本自查
管理员用户可以登录到设备后在CLI中输入show version来查询设备版本,通过影响版本判断设备是否在影响范围内。
漏洞利用排查
管理员用户可以登录到设备后在CLI中输入show conn port 5060 ,自行排查是否已受此漏洞影响,若返回结果为大量不完整的SIP连接,并且用命令show processes cpu-usage non-zero输出将显示为高的CPU利用率。则判断此设备已受漏洞(CVE-2018-15454)影响。
如果设备已经崩溃并重启,可使用如下命令获取崩溃信息,提供给Cisco官方进行确认,是否已经受到该漏洞攻击。
show crashinfo
临时解决建议
禁用SIP 检查
禁用SIP检查可有效解决该漏洞带来的危害,相关命令如下:
Cisco ASA:
policy-map global_policy class inspection_default no inspect sip
Cisco FTD
configure inspection sip disable
注:使用此方案将会禁用SIP服务,操作前请评估该操作是否会影响正常业务。
阻断攻击主机.
用户可以使用访问控制列表(ACL)阻断来自特殊源IP地址的流量,应用ACL之后,在EXEC模式下使用如下命令清除该源的现有连接。
clear conn address <ip_address>
用户也可阻止接收所有来自于攻击源IP的数据包,在EXEC模式下使用如下命令,该配置在重新启动后会失效。
shun <ip_address>
过滤0.0.0 Sent-by地址
攻击流量会将Sent-by 地址设置成无效的0.0.0.0,管理员可通过抓包等方式来确认自己的网络环境中是否有类似的攻击流量,如果发现威胁,可以应用以下配置来防止崩溃:
regex VIAHEADER "0.0.0.0" policy-map type inspect sip P1 parameters match message-path regex VIAHEADER drop policy-map global_policy class inspection_default no inspect sip inspect sip P1
FTD 6.2及之后的版本,在Cisco Firepower Management Center(FMC)中,可通过FlexConfig策略添加此项配置。
SIP流量限速
此漏洞也可通过使用Modular Policy Framework (MPF),对SIP流量进行限制,达到防护效果。如需帮助请联系Cisco服务人员进行协助。
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。