思科刚刚在其自适应安全设备(ASA)和Firepower威胁防御(FTD)软件的会话启动协议(SIP)检查引擎中披露了一个主动利用的拒绝服务(DoS)漏洞。
安全问题可能允许潜在的远程和未经身份验证的攻击者“导致受影响的设备重新加载或触发高CPU,从而导致拒绝服务(DoS)状况。”
正如思科在其咨询中所详述的那样,安全问题在于会话启动协议流量的处理方式不正确,这使得攻击者可以发送恶意制作的SIP请求,旨在跨受影响的设备以高速率触发此特定漏洞。
如果启用SIP检查,则此DoS漏洞(CVE-2018-15454)会影响Cisco ASA软件版本9.4及更高版本以及思科FTD软件版本6.0及更高版本。
鉴于思科自适应安全设备和Firepower威胁防御软件默认启用了SIP检查功能,因此运行它们的所有思科产品都容易受到攻击。
没有软件更新可以修复此主动利用的ASA和FTD DoS漏洞
Cisco在安全咨询中列出了以下产品:3000系列工业安全设备(ISA),ASA 5500-X系列下一代防火墙,用于Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器的ASA服务模块,自适应安全性虚拟设备(ASAv),Firepower 2100系列安全设备,Firepower 4100系列安全设备,Firepower 9300 ASA安全模块,FTD虚拟(FTDv)。
此外,思科表示没有发布软件更新,也没有找到解决此安全问题的解决方法。
幸运的是,有一些缓解措施可以避免暴露和潜在的利用,因为“思科产品安全事件响应小组(PSIRT)已经意识到对此通报中描述的漏洞的积极利用。”
思科建议阻止或回避违规主机,禁用SIP检测功能,并在运行Cisco ASA和FTW软件的所有易受攻击产品上过滤0.0.0.0的已发送地址作为缓解措施。