Lỗ hổng trên ASA, Firepower của Cisco đang bị khai thác và vẫn chưa có bản vá

Lỗ hổng trên ASA, Firepower của Cisco đang bị khai thác và vẫn chưa có bản vá

November 5, 2018 | vietsunshine

Cisco đưa ra thông báo cho người dùng rằng Adaptive Security Appliance (ASA) và Firepower Threat Defense Software đang bị lỗi xử lý Session Initiation Protocol (SIP), hiện lỗ hổng này đang bị khai thác và chưa có bản vá.

Lỗ hổng này có thể dẫn đến kết quả từ chối dịch vụ (DOS) khiến thiết bị ảnh hưởng bị crash và tải lại.

Chi tiết về lỗ hổng của Cisco

Lỗ hổng được báo cáo là do kiểm tra SIP không đúng. SIP là một giao thức phổ biến được sử dụng cho thoại qua IP (VoIP). Nó cũng được sử dụng để truyền tệp, nhắn tin nhanh, hội nghị truyền hình và phương tiện truyền trực tuyến. SIP có thể chạy trên TCP, UDP hoặc các giao thức mạng khác. Các thiết bị Cisco sau đây bị ảnh hưởng:

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4100 Series Security Appliance
  • Firepower 9300 ASA Security Module
  • FTD Virtual (FTDv)

Lỗ hổng được báo cáo không ảnh hưởng đến các thiết bị sau:

  • ASA 1000V Cloud Firewall
  • ASA 5500 Series Adaptive Security Appliances

Những hành động khẩn cấp bạn cần làm ngay

Do thực tế vấn đề này được báo cáo đang được khai thác trong tự nhiên và bản chất “default on” của kiểm tra SIP, người dùng được khuyến khích áp dụng các biện pháp giảm thiểu được cung cấp bởi Cisco ASAP.

  • Tắt kiểm tra SIP (được bật theo mặc định): Tắt kiểm tra SIP sẽ đóng hoàn toàn tấn công vectơ cho lỗ hổng này. Tuy nhiên, nó có thể không phù hợp cho tất cả mọi người. Đặc biệt, vô hiệu hóa kiểm tra SIP sẽ phá vỡ kết nối SIP nếu một trong hai Network Address Translation (NAT) được áp dụng cho traffic SIP hoặc nếu không phải tất cả các cổng cần thiết cho giao tiếp SIP được mở thông qua ACL. Để tắt tính năng kiểm tra SIP, hãy định cấu hình các mục sau:

Cisco ASA Software  và Cisco FTD Software của Cisco ra mắt phiên bản 6.2 trở lên (trong FTD 6.2 trở lên sử dụng Cisco FMC để thêm thông tin sau thông qua FlexConfig policy):

<code>
policy-map global_policy
class inspection_default
no inspect sip
Cisco FTD Software Releases prior to 6.2:
configure inspection sip disable
</code>

Ngoài ra một sốtư vấn khác:

  • Chặn máy chủ tấn công.
  • Lọc địa chỉ được gửi bởi 0.0.0.0, vì địa chỉ đó đã được báo cáo là được sử dụng bởi những kẻ tấn công đang khai thác liên tục.
  • Hạn chế lưu lượng truy cập SIP
Tags: , ,