当前位置:首页 > 网络安全 > 安全通告 > 详情
安全漏洞预警通告-Csico ASA及FTD软件拒绝服务漏洞(CVE-2018-15454) 预警
2018年11月02日   

  1、基本情况

  在(SIP)检查引擎中的漏洞受到未经身份验证的远程攻击导致受影响的设备重新启动或持续高CPU占用率,从而导致在拒绝服务(DoS)
  该漏洞是由于SIP流量处理不当造成的。攻击者可以通过高速率发送特定的SIP请求到受影响的设备来利用此漏洞。导致设备崩溃重启。
  2、影响范围
  Cisco Adaptive Security Appliance (ASA) 9.4及以上 Cisco Firepower Threat Defense (FTD) 6.0及以上
  影响如下设备
  3000 Series Industrial Security Appliance (ISA)
  ASA 5500-X Series Next-Generation Firewalls
  ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  Adaptive Security Virtual Appliance (ASAv)
  Firepower 2100 Series Security Appliance
  Firepower 4100 Series Security Appliance
  Firepower 9300 ASA Security Module
  FTD Virtual (FTDv)
  3、处置建议
  1)用户可以使用访问控制列表(ACL)阻止来自连接表中的特定源IP地址的流量
  2)禁用SIP检查将完全避免收到该漏洞的影响, 要禁用SIP检查,请配置以下内容: Cisco ASA软件和Cisco FTD软件版本6.2及更高版本(在FTD 6.2及更高版本中使用Cisco FMC通过FlexConfig策略添加以下内容)
  Cisco ASA Software and Cisco FTD Software Releases 6.2 and later (in FTD 6.2 and later use Cisco FMC to add the following via FlexConfig policy):
  policy-map global_policy
  class inspection_default
  no inspect sip
  Cisco FTD Software Releases prioglobal_policy
  class inspection_default
  r to 6.2:
  configure inspection sip disable
  configureinspectionsipdisable3) 在许多情况下,已发现违规流量将“已发送地址”设置为无效值0.0.0.0。 如果管理员确认违规流量在其环境中拥有相同的模式(例如通过数据包捕获确认),则可以应用以下配置来防止崩溃:
  regex VIAHEADER "0.0.0.0"
  policy-map type inspect sip P1
  parameters
  match message-path regex VIAHEADER
  drop
  policy-map global_policy
  class inspection_default
  no inspect sip
  inspect sip P1
  4、参考链接
  https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181031-asaftd-sip-dos#vp