Служба техподдержки Cisco во время разрешения запроса пользователя обнаружила уязвимость в службе проверки Session Initiation Protocol (SIP). С помощью этого эксплойта злоумышленник может спровоцировать на устройстве состояние отказа в обслуживании (DoS). Уязвимость получила статус нулевого дня, так как уже есть сведения о том, что её используют на практике.
Неверная обработка SIP-запросов
Атаке подвержены два компонента прошивки оборудования: Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), устанавливаемые на промышленные роутеры и брандмауэры. Большое количество определённым образом настроенных SIP-запросов максимально загружает CPU устройства или даже вызывает перезапуск системы. Для реализации эксплойта злоумышленнику не требуется предварительная авторизация.
Ошибка найдена в ASA 9.4 и старше, а также в FTD 6.0 и старше. Компания опубликовала список потенциально уязвимых продуктов:
- 3000 Series Industrial Security Appliance (ISA)ASA 5500-X Series Next-Generation FirewallsASA Services Module для Cisco Catalyst 6500 Series Switches и Cisco 7600 Series RoutersAdaptive Security Virtual Appliance (ASAv)Firepower 2100 Series Security ApplianceFirepower 4100 Series Security ApplianceFirepower 9300 ASA Security ModuleFTD Virtual (FTDv)
Представители Cisco отмечают, что указанные продукты могут быть подвержены атаке только если на них запущена служба проверки SIP и модули ASA и FTD. Кстати, в качестве одного из методов защиты компания предлагает отключить этот сервис. Выполнить операцию можно из командной строки (CLI):
- Cisco ASA Softwarepolicy-map global_policy
class inspection_default
no inspect sipCisco FTD Software Releasesconfigure inspection sip disable
Второй способ защиты — блокировка IP-адреса атакующего. Обнаружить его можно по большому количеству SIP-запросов на порт 5060 и высокой нагрузке на CPU.
В рассматривавшихся специалистами компании случаях вредоносные пакеты содержали неверный атрибут Sent-by Address 0.0.0.0. В качестве защиты Cisco рекомендует изменить конфигурацию устройства следующим образом:
regex VIAHEADER «0.0.0.0»
policy-map type inspect sip P1
parameters
match message-path regex VIAHEADER
drop
policy-map global_policy
class inspection_default
no inspect sip
inspect sip P1
Кроме того, можно ограничить трафик SIP-запросов. На каждой модели устройства это делается разными способами, компания просит пользователей обратиться в службу поддержки за инструкциями.
Cisco работает над устранением уязвимости и обещает выпустить апдейт в ближайшее время. Опубликован список продуктов, гарантировано не подверженных атаке. Это ASA 1000V Cloud Firewall и ASA 5500 Series Adaptive Security Appliances.
Уязвимости интернета вещей всё чаще становятся входными воротам в систему для злоумышленников. В апреля 2018 года с помощью взломанных коммутаторов Cisco хакеры провели масштабную атаку на Интернет, уничтожая конфигурирующие данные в незащищённых устройствах.
Источник: