思科(Cisco)在上周公开披露了一个严重的安全漏洞,该漏洞可能会触发受影响设备的重启,也就是说它为攻击者执行拒绝服务(DoS)攻击创造了条件。
根据思科安全咨询的描述,这个漏洞存在于均支持会话启动协议(SIP)的思科自适应安全设备(ASA)软件和Firepower威胁防御(FTD)软件中,使得运行这两款软件的设备易受到未经身份验证的远程攻击,导致设备重启或保持高CPU占用率,从而导致设备崩溃。
目前,没有针对该漏洞的修复补丁或解决方案可用,但思科在其安全咨询中还是提供了几种方法,可以用作临时的缓解措施。
漏洞可远程利用,且无需身份验证
这个漏洞被标识为CVE-2018-15454,存在于ASA和FTD软件中默认开启的SIP协议检查引擎中。
如果没有导致设备重启或崩溃,也会导致设备保持在一个很高的CPU使用率,进而导致设备运行速度降低,无法完成一些设定的任务。
根据思科发布的安全咨询,该漏洞可以被远程利用,而且不需要身份验证。
该安全咨询写道:“该漏洞是由于对SIP流量的不当处理造成的,攻击者可以通过发送可以通过高速率发送特定的SIP请求到受影响的设备来利用此漏洞。”
ASA 9.4、FTD6.0及更高版本受影响,涵盖多款产品
该漏洞的CVSS评分为8.6,属于一个高危险系数(High)漏洞,影响到思科ASA软件版本9.4及更高版本,以及思科FTD软件版本6.0及更高版本。在启用SIP检查之后,该漏洞就将变为可利用状态,这对于物理和虚拟设备均是如此。
总的来说,受该漏洞影响的思科设备包括以下八类产品:
3000系列工业安全设备(ISA)
适用于Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器的ASA服务模块
自适应安全虚拟设备(ASAv)
ASA 5500-X系列下一代防火墙
Firepower 9300 ASA安全模块
虚拟FTD(FTDv)
Firepower 2100系列安全设备
Firepower 4100系列安全设备
暂无修复补丁或更新可用,思科已提供临时缓解措施
目前,没有针对该漏洞的修复补丁或解决方案可用。但是,思科已经提供了一些方法来作为临时缓解措施。
第一种方法是禁用SIP检查,但在许多情况下这是不可行的,因为它可能会破坏SIP连接。
第二种方法是通过使用访问控制列表(ACL)来阻止来自非法IP地址的流量, 或者在执行EXEC模式下使用“shun”命令来阻止来自攻击者IP的流量。当然,它们都不会是长久办法。
第三种方法涉及到过滤IP地址0.0.0.0,因为思科发现在大多数漏洞利用案例中都存在该地址。
最后一种方法则是通过模块化策略框架(MPF)来实现SIP流量的速率限制。
在思科推出针对CVE-2018-15454的修复补丁或更新之前,我们建议各位用户可以将上述方法都试一遍,并时刻留意思科的官方公告。