О CVE-2018-15454

Эта уязвимость содержится в механизме проверки протокола инициации сеанса (SIP) программного обеспечения Cisco Adaptive Security Appliance (ASA) и программного обеспечения Cisco Firepower Threat Defense (FTD) и позволяет удаленным злоумышленникам, не прошедшим проверку подлинности, заставить перезагружаемое устройство перезагрузить или запустить высокий уровень загрузки ЦП, в результате чего состояние DoS.

«Уязвимость связана с неправильной обработкой SIP-трафика. Злоумышленник может использовать эту уязвимость, отправляя запросы SIP, специально предназначенные для частой активации этой проблемы на уязвимом устройстве », - пояснил Cisco.

Список затронутых продуктов является значительным:

• Устройство промышленной безопасности серии 3000 (ISA)
• Брандмауэры следующего поколения ASA 5500-X
• Сервисный модуль ASA для коммутаторов Cisco Catalyst серии 6500 и маршрутизаторов Cisco серии 7600
• Виртуальное устройство адаптивной безопасности (ASAv)
• Устройство безопасности Firepower серии 2100
• Устройство безопасности Firepower серии 4100
• Модуль безопасности Firepower 9300 ASA
• FTD Virtual (FTDv).

Эти устройства уязвимы, если они работают под управлением ПО Cisco ASA версии 9.4 и более поздних версий и ПО Cisco FTD Software Release 6.0, и если у них включен протокол SIP (он включен в конфигурации по умолчанию).

Что делать?

К сожалению, Cisco еще не предоставила обновления безопасности, которые бы закрыли дыру, и нет никаких обходных путей, которые могли бы ее устранить.

Пока исправления не предоставлены, администраторы могут либо отключить проверку SIP, заблокировать трафик с IP-адреса источника атаки или, если они подтвердят, что нарушающий трафик показывает тот же шаблон, обнаруженный Cisco, они могут отфильтровать трафик атаки. Более подробную информацию о реализации этих мер можно найти в рекомендациях Cisco .

«Несмотря на то, что уязвимость, описанная в этом руководстве, активно используется, выходные данные show conn port 5060 будут показывать большое количество неполных SIP-соединений, а выходные данные отсортированных ненулевых cpu-процессов show process будут показывать высокую загрузку ЦП», Cisco объяснил.

«Успешное использование этой уязвимости также может привести к сбою и перезагрузке уязвимого устройства. После того, как устройство загрузится снова, вывод show crashinfo покажет неизвестное прерывание потока DATAPATH. Клиент должен обратиться к Центру технической поддержки Cisco с этой информацией, чтобы определить, был ли конкретный сбой связан с использованием этой уязвимости ».