Cisco ASA及FTD軟件拒絕服務(wù)的漏洞是什么

Cisco ASA及FTD軟件拒絕服務(wù)的漏洞是什么，相信很多沒有經(jīng)驗(yàn)的人對此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個問題。

0x00 事件背景

2018-10-31 Cisco官方發(fā)布安全預(yù)警 多款運(yùn)行Cisco Adaptive Security Appliance (ASA)和Cisco Firepower Threat Defense (FTD) 的設(shè)備受到影響。這兩款軟件均支持Session Initiation Protocol (SIP)。

而在(SIP)檢查引擎中的漏洞受到未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊導(dǎo)致受影響的設(shè)備重新啟動或持續(xù)高CPU占用率，從而導(dǎo)致拒絕服務(wù)(DoS)

該漏洞是由于SIP流量處理不當(dāng)造成的。攻擊者可以通過高速率發(fā)送特定的SIP請求到受影響的設(shè)備來利用此漏洞。導(dǎo)致設(shè)備崩潰重啟。

0x01 影響范圍

Cisco Adaptive Security Appliance (ASA) 9.4及以上
Cisco Firepower Threat Defense (FTD)    6.0及以上

影響如下設(shè)備

• 3000 Series Industrial Security Appliance (ISA)

• ASA 5500-X Series Next-Generation Firewalls

• ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers

• Adaptive Security Virtual Appliance (ASAv)

• Firepower 2100 Series Security Appliance

• Firepower 4100 Series Security Appliance

• Firepower 9300 ASA Security Module

• FTD Virtual (FTDv)

默認(rèn)情況下，Cisco ASA軟件和Cisco FTD軟件均啟用SIP檢查。所以影響較為廣泛

已確認(rèn)不影響如下設(shè)備

• ASA 1000V Cloud Firewall

• ASA 5500 Series Adaptive Security Appliances

 0x02 修復(fù)建議

(ASA)設(shè)備可以通過如下命令來檢查是否處于受影響的版本

ciscoasa# show version | include Version

(FTD)設(shè)備可以通過如下命令來檢查是否處于受影響的版本

show version

思科官方目前提出了三種解決方案來緩解受到的影響

選項(xiàng)1：阻止違規(guī)主機(jī)

用戶可以使用訪問控制列表（ACL）阻止來自連接表中的特定源IP地址的流量。
應(yīng)用ACL后，請確保在執(zhí)行模式下使用clear conn address <ip_address>命令清除該源IP的現(xiàn)有連接。
或者，可以在執(zhí)行模式下使用shun <ip_address>命令回避違規(guī)主機(jī)。
這將阻止來自該源IP的所有數(shù)據(jù)包，而無需更改配置。
但是請注意，重啟該方案會失效。

選項(xiàng)2：禁用SIP檢查

禁用SIP檢查將完全避免收到該漏洞的影響。
但是它可能不適合所有用戶。
如果NAT應(yīng)用于SIP流量，或者如果不是通過ACL打開SIP通信所需的所有端口，禁用SIP檢查將破壞SIP連接。
要禁用SIP檢查，請配置以下內(nèi)容：
Cisco ASA軟件和Cisco FTD軟件版本6.2及更高版本（在FTD 6.2及更高版本中使用Cisco FMC通過FlexConfig策略添加以下內(nèi)容）

Cisco ASA Software and Cisco FTD Software Releases 6.2 and later (in FTD 6.2 and later use Cisco FMC to add the following via FlexConfig policy):
policy-map global_policy
 class inspection_default
  no inspect sip
Cisco FTD Software Releases prior to 6.2:
configure inspection sip disable

選項(xiàng)3：過濾發(fā)送地址0.0.0.0

在許多情況下，已發(fā)現(xiàn)違規(guī)流量將“已發(fā)送地址”設(shè)置為無效值0.0.0.0。
如果管理員確認(rèn)違規(guī)流量在其環(huán)境中擁有相同的模式（例如通過數(shù)據(jù)包捕獲確認(rèn)），則可以應(yīng)用以下配置來防止崩潰：

regex VIAHEADER "0.0.0.0"

policy-map type inspect sip P1
parameters
match message-path regex VIAHEADER
 drop

policy-map global_policy
class inspection_default
 no inspect sip
 inspect sip P1

在FTD 6.2及更高版本中，使用Cisco FMC通過FlexConfig策略添加此配置。

看完上述內(nèi)容，你們掌握Cisco ASA及FTD軟件拒絕服務(wù)的漏洞是什么的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！