Cisco сообщила об обнаружении уязвимости обработки SIP

Уязвимость получила статус нулевого дня, так как уже есть сведения о том, что её используют на практике

Служба техподдержки Cisco во время разрешения запроса пользователя обнаружила уязвимость в службе проверки Session Initiation Protocol (SIP). С помощью этого эксплойта злоумышленник может спровоцировать на устройстве состояние отказа в обслуживании (DoS).

Как пишет TProger, уязвимость получила статус нулевого дня, так как уже есть сведения о том, что её используют на практике.

Атаке подвержены два компонента прошивки оборудования: Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), устанавливаемые на промышленные роутеры и брандмауэры. Большое количество определённым образом настроенных SIP-запросов максимально загружает CPU устройства или даже вызывает перезапуск системы. Для реализации эксплойта злоумышленнику не требуется предварительная авторизация.

Ошибка найдена в ASA 9.4 и старше, а также в FTD 6.0 и старше. Компания опубликовала список потенциально уязвимых продуктов:

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module для Cisco Catalyst 6500 Series Switches и Cisco 7600Series Routers
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4100 Series Security Appliance
  • Firepower 9300 ASA Security Module
  • FTD Virtual (FTDv)
ЧИТАЙТЕ ТАКЖЕ:  BlackBerry ведет переговоры о покупке стартапа Cylance за $1.5 миллиарда

Представители Cisco отмечают, что указанные продукты могут быть подвержены атаке только если на них запущена служба проверки SIP и модули ASA и FTD. Кстати, в качестве одного из методов защиты компания предлагает отключить этот сервис. Выполнить операцию можно из командной строки (CLI):

  • Cisco ASA Software
policy-map global_policy
 class inspection_default
 no inspect sip
  • Cisco FTD Software Releases
configure inspection sip disable

Второй способ защиты – блокировка IP-адреса атакующего. Обнаружить его можно по большому количеству SIP-запросов на порт 5060 и высокой нагрузке на CPU.

В рассматривавшихся специалистами компании случаях вредоносные пакеты содержали неверный атрибут Sent-by Address 0.0.0.0. В качестве защиты Cisco рекомендует изменить конфигурацию устройства следующим образом:

regex VIAHEADER "0.0.0.0"

policy-map type inspect sip P1
parameters
match message-path regex VIAHEADER
 drop

policy-map global_policy
class inspection_default
 no inspect sip
 inspect sip P1

Кроме того, можно ограничить трафик SIP-запросов. На каждой модели устройства это делается разными способами, компания просит пользователей обратиться в службу поддержки за инструкциями.

ЧИТАЙТЕ ТАКЖЕ:  BlackBerry ведет переговоры о покупке стартапа Cylance за $1.5 миллиарда

Cisco работает над устранением уязвимости и обещает выпустить апдейт в ближайшее время. Опубликован список продуктов, гарантировано не подверженных атаке. Это ASA 1000V Cloud Firewall и ASA 5500 Series Adaptive Security Appliances.

Уязвимости интернета вещей всё чаще становятся входными воротам в систему для злоумышленников. В апреля 2018 года с помощью взломанных коммутаторов Cisco хакеры провели масштабную атаку на Интернет, уничтожая конфигурирующие данные в незащищённых устройствах.


Не забудьте поделиться новостью и подписаться на наш канал в Telegram — абсолютно бесплатно мы постим туда каждый день только утром и вечером самое интересное с нашего портала. Если, конечно, это что-то не из разряда «Breaking News».

Мы также присутствуем в Twitter и даже на Facebook. А ещё у нас есть Календарь событий, которые могут быть вам интересны.

Добавить комментарий