Hackers exploram vulnerabilidade de zero day da Cisco ASA e FTD



Hackers exploram vulnerabilidade de zero day da Cisco ASA e FTD em resultando em negação de serviço – DoS

Uma vulnerabilidade crítica no SIP (Session Initiation Protocol) do software Cisco ASA e FTD permite que um invasor remoto não autenticado trave e recarregue o dispositivo. A vulnerabilidade ocorre devido ao manuseio inadequado do tráfego SIP.

Um invasor remoto pode explorar a vulnerabilidade do Cisco Zero Day enviando uma solicitação SIP criada que acionaria o alto uso da CPU ou recarregaria os resultados do dispositivo na condição de negação de serviço.

A Cisco informa que a atualização de segurança para solucionar a vulnerabilidade ainda não está disponível e, no momento, não há solução alternativa para essa vulnerabilidade, segundo o comunicado da Cisco.

Produtos Afetados – Cisco Zero Day

A vulnerabilidade afeta o Cisco ASA Software Release 9.4 e posterior e o Cisco FTD Software 6.0 e posterior, se a inspeção do SIP estiver ativada.

3000 Series Industrial Security Appliance (ISA) ASA 5500-X Series Next-Generation Firewalls ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers Adaptive Security Virtual Appliance (ASAv) Firepower 2100 Series Security Appliance Firepower 4100 Series Security Appliance Firepower 9300 ASA Security Module FTD Virtual (FTDv)

A indicação do dispositivo em ataque

Se algum dispositivo vulnerável for explorado ativamente por invasores, os administradores poderão ver um grande número de conexões SIP incompletas sobre a porta de conexão 5060 e a saída de processos de exibição não-zero classificados por uso da CPU mostrará uma alta utilização da CPU.

A exploração bem-sucedida do dispositivo leva o dispositivo a travar e recarregar para liberar atualizações de software que abordam a vulnerabilidade descrita neste comunicado.

A vulnerabilidade pode ser rastreada como CVE-2018-15454 e recebe a pontuação básica 8.6.

Mitigação

O Site da CISCO Não há soluções alternativas que abordem essa vulnerabilidade; no entanto, existem várias opções de atenuação.

Opção 1: desativar a inspeção SIP

Desativar a inspeção do SIP fechará completamente o vetor de ataque para esta vulnerabilidade. No entanto, pode não ser adequado para todos os clientes. Em particular, desabilitar a inspeção SIP interromperia as conexões SIP, se NAT fosse aplicado ao tráfego SIP ou se nem todas as portas necessárias para a comunicação SIP fossem abertas via ACL.

Para desabilitar a inspeção do SIP, configure o seguinte:

  • Cisco ASA Software policy-map global_policy class inspection_default no inspect sip

  • Cisco FTD Software Releases configure inspection sip disable

Opção 2: bloquear o (s) host (s) ofensivo (s)

O cliente pode bloquear o tráfego do endereço IP de origem específico visto na tabela de conexões usando uma lista de controle de acesso (ACL). Depois de aplicar a ACL, certifique-se de limpar as conexões existentes para essa origem usando o comando clear conn < IP address > no modo EXEC.

Como alternativa, o host incorreto pode ser evitado usando o comando shun <ip_address> no modo EXEC. Isso bloqueará todos os pacotes desse IP de origem sem a necessidade de uma alteração de configuração. Entretanto, esteja ciente de que o shunning não persiste durante a reinicialização.

Opção 3: Filtrar no endereço enviado de 0.0.0.0

Em casos observados, o tráfego ofensivo foi encontrado com o endereço enviado definido como o valor inválido de 0.0.0.0. Se um administrador confirmar que o tráfego incorreto mostra o mesmo padrão em seu ambiente (por exemplo, confirmado por meio de captura de pacote), a seguinte configuração pode ser aplicada para evitar a falha:

regex VIAHEADER "0.0.0.0" policy-map type inspect sip P1 parameters match message-path regex VIAHEADER drop policy-map global_policy class inspection_default no inspect sip inspect sip P1

No FTD 6.2 e posterior, use o Cisco Firepower Management Center (FMC) adicione essa configuração através da política FlexConfig.

Opção 4: Limite de tráfego SIP de taxa

Essa vulnerabilidade também pode ser atenuada pela implementação de um limite de taxa no tráfego SIP usando o Modular Policy Framework (MPF). A implementação dessas políticas será diferente, dependendo dos detalhes da implantação e das opções de implementação feitas em cada ambiente. Os clientes que precisam de assistência para implementar uma política de MPF devem entrar em contato com o Cisco TAC ou com o representante de Advanced Services (AS) para obter assistência.

Nota: Um invasor pode explorar esta vulnerabilidade usando pacotes IP falsificados.

Fix

As atualizações de software que abordam a vulnerabilidade descrita no comunicado da CISCO não estão disponíveis no momento.

Para maiores informações o leitor pode acessar diretamente o link do comunicado clicando em Cisco Security Advisory

#segurança #hackersProteçãodedadoscorporativos #ngfw #casb #ataqueDDoSrespostadeincidentes #forcepoint #utm #fortinet #ksecurity #mssp

16 visualizações
  • Twitter Ksecurity
  • Branca Ícone LinkedIn
  • White Facebook Icon

© 2019 by KSecurity - Todos os Direitos Reservados

FALE COM A K