Cisco ASA及FTD軟件拒絕服務的漏洞是什么

Cisco ASA及FTD軟件拒絕服務的漏洞是什么，相信很多沒有經驗的人對此束手無策，為此本文總結了問題出現的原因和解決方法，通過這篇文章希望你能解決這個問題。

0x00 事件背景

2018-10-31 Cisco官方發布安全預警 多款運行Cisco Adaptive Security Appliance (ASA)和Cisco Firepower Threat Defense (FTD) 的設備受到影響。這兩款軟件均支持Session Initiation Protocol (SIP)。

而在(SIP)檢查引擎中的漏洞受到未經身份驗證的遠程攻擊導致受影響的設備重新啟動或持續高CPU占用率，從而導致拒絕服務(DoS)

該漏洞是由于SIP流量處理不當造成的。攻擊者可以通過高速率發送特定的SIP請求到受影響的設備來利用此漏洞。導致設備崩潰重啟。

0x01 影響范圍

Cisco Adaptive Security Appliance (ASA) 9.4及以上
Cisco Firepower Threat Defense (FTD)    6.0及以上

影響如下設備

• 3000 Series Industrial Security Appliance (ISA)

• ASA 5500-X Series Next-Generation Firewalls

• ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers

• Adaptive Security Virtual Appliance (ASAv)

• Firepower 2100 Series Security Appliance

• Firepower 4100 Series Security Appliance

• Firepower 9300 ASA Security Module

• FTD Virtual (FTDv)

默認情況下，Cisco ASA軟件和Cisco FTD軟件均啟用SIP檢查。所以影響較為廣泛

已確認不影響如下設備

• ASA 1000V Cloud Firewall

• ASA 5500 Series Adaptive Security Appliances

 0x02 修復建議

(ASA)設備可以通過如下命令來檢查是否處于受影響的版本

ciscoasa# show version | include Version

(FTD)設備可以通過如下命令來檢查是否處于受影響的版本

show version

思科官方目前提出了三種解決方案來緩解受到的影響

選項1：阻止違規主機

用戶可以使用訪問控制列表（ACL）阻止來自連接表中的特定源IP地址的流量。
應用ACL后，請確保在執行模式下使用clear conn address <ip_address>命令清除該源IP的現有連接。
或者，可以在執行模式下使用shun <ip_address>命令回避違規主機。
這將阻止來自該源IP的所有數據包，而無需更改配置。
但是請注意，重啟該方案會失效。

選項2：禁用SIP檢查

禁用SIP檢查將完全避免收到該漏洞的影響。
但是它可能不適合所有用戶。
如果NAT應用于SIP流量，或者如果不是通過ACL打開SIP通信所需的所有端口，禁用SIP檢查將破壞SIP連接。
要禁用SIP檢查，請配置以下內容：
Cisco ASA軟件和Cisco FTD軟件版本6.2及更高版本（在FTD 6.2及更高版本中使用Cisco FMC通過FlexConfig策略添加以下內容）

Cisco ASA Software and Cisco FTD Software Releases 6.2 and later (in FTD 6.2 and later use Cisco FMC to add the following via FlexConfig policy):
policy-map global_policy
 class inspection_default
  no inspect sip
Cisco FTD Software Releases prior to 6.2:
configure inspection sip disable

選項3：過濾發送地址0.0.0.0

在許多情況下，已發現違規流量將“已發送地址”設置為無效值0.0.0.0。
如果管理員確認違規流量在其環境中擁有相同的模式（例如通過數據包捕獲確認），則可以應用以下配置來防止崩潰：

regex VIAHEADER "0.0.0.0"

policy-map type inspect sip P1
parameters
match message-path regex VIAHEADER
 drop

policy-map global_policy
class inspection_default
 no inspect sip
 inspect sip P1

在FTD 6.2及更高版本中，使用Cisco FMC通過FlexConfig策略添加此配置。

看完上述內容，你們掌握Cisco ASA及FTD軟件拒絕服務的漏洞是什么的方法了嗎？如果還想學到更多技能或想了解更多相關內容，歡迎關注億速云行業資訊頻道，感謝各位的閱讀！