Cisco ASA安全产品拒绝服务漏洞(CVE-2018-15454)处置建议
Cisco ASA安全产品拒绝服务漏洞(CVE-2018-15454)处置建议
预警编号:NS-2018-0034
2018-11-02
TAG: | Cisco、ASA、FTD、CVE-2018-15454、拒绝服务攻击 |
|---|---|
危害等级: | 中,此漏洞影响思科产品,目前官方暂未提供补丁,攻击者通过此漏洞可实现拒绝服务攻击。 |
版本: | 1.0 |
1
漏洞概述
近日,Cisco官方发布了Adaptive Security Appliance(ASA)软件及Firepower Threat Defense(FTD)软件拒绝服务漏洞(CVE-2018-15454)的安全通告。 此漏洞存在于软件检测引擎的会话发起协议(ISP),未授权的攻击者可远程利用此漏洞实现设备重载或触发高CPU,造成设备拒绝服务。
参考链接: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181031-asaftd-sip-dos
SEE MORE →
2影响范围
满足以下条件,则判断可能受此漏洞影响:
- SIP inspection处于开启状态
- 软件版本:Cisco ASA Software >=9.4 || Cisco FTD Software >=6.0
- 运行在下列受影响的任一思科产品上
- 3000系列工业安全设备(ISA)
- ASA 5500-X系列下一代防火墙
- 适用于Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器的ASA服务模块
- 自适应安全虚拟设备(ASAv)
- Firepower 2100系列安全设备
- Firepower 4100系列安全设备
- Firepower 9300 ASA安全模块
- 虚拟FTD(FTDv)
官方确认不受影响产品:
- ASA 1000V云防火墙
- ASA 5500系列自适应安全设备
3漏洞排查
3.1 版本自查
Cisco ASA Software版本自查
管理员用户可以登录到设备后在CLI中输入show version来查询设备版本,通过影响版本判断设备是否在影响范围内。
若设备通过Cisco Adaptive Security Device Manager (ASDM)进行管理,管理员也可通过引用Cisco ASDM登录窗口,或Cisco asdm主页的设备仪表板选项卡中的信息来确定当前版本。
Cisco FTD Software Release版本自查
管理员用户可以登录到设备后在CLI中输入show version来查询设备版本,通过影响版本判断设备是否在影响范围内。
3.2 漏洞利用排查
管理员用户可以登录到设备后通过命令自行排查是否已受此漏洞影响。在CLI中输入show conn port 5060 ,若执行结果中存在大量不完整的SIP连接,并且命令show processes cpu-usage non-zero sorted的执行结果中发现CPU利用率较高,则判断此设备可能受漏洞(CVE-2018-15454)影响。
如果设备已经崩溃并重启,可使用如下命令获取崩溃信息,提供给Cisco官方进行确认,是否已经受到该漏洞攻击。
show crashinfo |
|---|
4临时解决建议
4.1 禁用SIP检查
禁用SIP检查可有效解决该漏洞带来的危害,相关命令如下:
Cisco ASA:
policy-map global_policyclass inspection_defaultno inspect sip |
|---|
Cisco FTD:
configure inspection sip disable |
|---|
注:使用此方案将会禁用SIP服务,操作前请评估该方案是否会影响正常业务。
4.2 阻断攻击主机
用户可以使用访问控制列表(ACL)阻断来自特殊源IP地址的流量,应用ACL之后,需在EXEC模式下使用如下命令清除该源的现有连接。
clear conn address <ip_address> |
|---|
用户也可在EXEC模式下执行如下命令,阻止接收所有来自于攻击源IP的数据包,需注意该配置在重新启动后会失效。
shun <ip_address> |
|---|
4.3 过滤0.0.0.0 Sent-by 地址
攻击流量会将Sent-by 地址设置成无效的0.0.0.0,管理员可通过抓包等方式来确认自己的网络环境中是否有类似的攻击流量,如果发现威胁,可以应用以下配置来防止崩溃:
regex VIAHEADER "0.0.0.0"policy-map type inspect sip P1parametersmatch message-path regex VIAHEADER droppolicy-map global_policyclass inspection_default no inspect sip inspect sip P1 |
|---|
FTD 6.2及之后的版本,可使用Cisco Firepower Management Center(FMC),通过FlexConfig策略添加此项配置。
4.4 SIP流量限速
FTD 6.2及之后的版本,可使用Cisco Firepower Management Center(FMC),通过FlexConfig策略添加此项配置。
END
作者:绿盟科技安全服务部
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
腾讯云开发者
