思科上周发出安全公告,旗下多款安全硬件存在SIP(Session Initiation Protocol)协定零时差漏洞,可能导致黑客重新启动硬件引发阻断服务(Denial of Service)攻击。该漏洞尚未有修补程式。思科同时警告网络上已有开采情形出现。
编号CVE-2018-15454的漏洞是由思科产品安全事件回应小组(PSIRT)发现,出现在该公司产品中二项软件,包括Adaptive Security Appliance(ASA)9.4版以上以及Firepower Threat Defense(FTD)6.0版以上的SIP检测引擎。这项漏洞归因於对SIP流量未能正确处理,让攻击者传送变造过的SIP呼叫指令来开采。
漏洞一经开采,将使未授权的远端攻击者得以重新启动有漏洞的硬件,导致DoS攻击。如果未能重启硬件,则会持续占用CPU运算资源,拖慢其回应速度。思科将之列为CVSS Score 8.6的高风险漏洞。
上述版本ASA及FTD软件均因预设开启SIP检测功能而曝险。共有8款执行上述实体和虚拟机器受到该漏洞影响,包括:
- 3000 Series Industrial Security Appliance (ISA)
- ASA 5500-X Series Next-Generation Firewalls
- ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
- Adaptive Security Virtual Appliance (ASAv)
- Firepower 2100 Series Security Appliance
- Firepower 4100 Series Security Appliance
- Firepower 9300 ASA Security Module
- FTD Virtual (FTDv)
值得注意的是,思科警告已经有开采漏洞的情形发生。但目前尚未有修补程式。
目前最好的缓解方法是关闭SIP检测功能,但这将危及企业的SIP连线。另一方法是启用存取控制表(ACL),在EXEC模式下启用clear conn address ,或使用shun 指令来防堵攻击流量。另外管理员也可留意流量Set-by Address标头值设为0.0.0.0无效值的流量。
思科产品上周也爆漏洞。德仪(TI)蓝牙晶片上周被揭露有二个重大安全漏洞,可能让黑客开采後入侵企业网络、或利用网络装置散布恶意装置。包括思科、Meraki及Aruba的无线AP产品都受到波及。
