Hackers exploram vulnerabilidade de zero day da Cisco ASA e FTD

Hackers exploram vulnerabilidade de zero day da Cisco ASA e FTD em resultando em negação de serviço – DoS

Uma vulnerabilidade crítica no SIP (Session Initiation Protocol) do software Cisco ASA e FTD permite que um invasor remoto não autenticado trave e recarregue o dispositivo. A vulnerabilidade ocorre devido ao manuseio inadequado do tráfego SIP.

Um invasor remoto pode explorar a vulnerabilidade do Cisco Zero Day enviando uma solicitação SIP criada que acionaria o alto uso da CPU ou recarregaria os resultados do dispositivo na condição de negação de serviço.

A Cisco informa que a atualização de segurança para solucionar a vulnerabilidade ainda não está disponível e, no momento, não há solução alternativa para essa vulnerabilidade, segundo o comunicado da Cisco.

Produtos Afetados – Cisco Zero Day

A vulnerabilidade afeta o Cisco ASA Software Release 9.4 e posterior e o Cisco FTD Software 6.0 e posterior, se a inspeção do SIP estiver ativada.

3000 Series Industrial Security Appliance (ISA)
ASA 5500-X Series Next-Generation Firewalls
ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
Adaptive Security Virtual Appliance (ASAv)
Firepower 2100 Series Security Appliance
Firepower 4100 Series Security Appliance
Firepower 9300 ASA Security Module
FTD Virtual (FTDv)

A indicação do dispositivo em ataque

Se algum dispositivo vulnerável for explorado ativamente por invasores, os administradores poderão ver um grande número de conexões SIP incompletas sobre a porta de conexão 5060 e a saída de processos de exibição não-zero classificados por uso da CPU mostrará uma alta utilização da CPU.

A exploração bem-sucedida do dispositivo leva o dispositivo a travar e recarregar para liberar atualizações de software que abordam a vulnerabilidade descrita neste comunicado.

A vulnerabilidade pode ser rastreada como CVE-2018-15454 e recebe a pontuação básica 8.6.

Mitigação

O Site da CISCO Não há soluções alternativas que abordem essa vulnerabilidade; no entanto, existem várias opções de atenuação.

Opção 1: desativar a inspeção SIP

Desativar a inspeção do SIP fechará completamente o vetor de ataque para esta vulnerabilidade. No entanto, pode não ser adequado para todos os clientes. Em particular, desabilitar a inspeção SIP interromperia as conexões SIP,  se NAT fosse aplicado ao tráfego SIP ou se nem todas as portas necessárias para a comunicação SIP fossem abertas via ACL.

Para desabilitar a inspeção do SIP, configure o seguinte:

• Cisco ASA Software 
  policy-map global_policy
   class inspection_default
    no inspect sip
• Cisco FTD Software Releases
  configure inspection sip disable

Opção 2: bloquear o (s) host (s) ofensivo (s)

O cliente pode bloquear o tráfego do endereço IP de origem específico visto na tabela de conexões usando uma lista de controle de acesso (ACL). Depois de aplicar a ACL, certifique-se de limpar as conexões existentes para essa origem usando o comando clear conn < IP address >  no modo EXEC.

Como alternativa, o host incorreto pode ser evitado usando o comando
shun <ip_address> no modo EXEC. Isso bloqueará todos os pacotes desse IP de origem sem a necessidade de uma alteração de configuração. Entretanto, esteja ciente de que o shunning não persiste durante a reinicialização.

Opção 3: Filtrar no endereço enviado de 0.0.0.0

Em casos observados, o tráfego ofensivo foi encontrado com o endereço enviado definido como o valor inválido de 0.0.0.0. Se um administrador confirmar que o tráfego incorreto mostra o mesmo padrão em seu ambiente (por exemplo, confirmado por meio de captura de pacote), a seguinte configuração pode ser aplicada para evitar a falha:

regex VIAHEADER "0.0.0.0"

policy-map type inspect sip P1
parameters
match message-path regex VIAHEADER
 drop

policy-map global_policy
class inspection_default
 no inspect sip
 inspect sip P1

No FTD 6.2 e posterior, use o Cisco Firepower Management Center (FMC)  adicione essa configuração através da política FlexConfig.

Opção 4: Limite de tráfego SIP de taxa

Essa vulnerabilidade também pode ser atenuada pela implementação de um limite de taxa no tráfego SIP usando o Modular Policy Framework (MPF). A implementação dessas políticas será diferente, dependendo dos detalhes da implantação e das opções de implementação feitas em cada ambiente. Os clientes que precisam de assistência para implementar uma política de MPF devem entrar em contato com o Cisco TAC ou com o representante de
Advanced Services  (AS) para obter assistência.

Nota: Um invasor pode explorar esta vulnerabilidade usando pacotes IP falsificados.

Fix

As atualizações de software que abordam a vulnerabilidade descrita no comunicado da CISCO não estão disponíveis no momento. 

Para maiores informações o leitor pode acessar diretamente o link do comunicado clicando em Cisco Security Advisory

Fonte : GBHackers & Cisco Security Advisory

Veja também:

• CrowdStrike aterriza no Brasil com o melhor Next Generation AV do mercado!
• Como nível C contribui para uma postura de segurança mais forte
• LGPD-SP – A proteção estadual de dados pessoais e o PL 598/2018
• IBM adquire distribuidor Linux Red Hat por US $ 33,4 bilhões
• 10 maneiras de manter-se seguro online
• Empresas “cyber ready” apresentam melhores resultados
• Milhares de aplicativos vulneráveis ao RCE por meio do upload de arquivo jQuery
• Nova LGPD: os direitos dos titulares de dados pessoais
• Phishing – Você sabe o que é e como se proteger ?
• JP Morgan lança programa de recompensa de descoberta de vulnerabilidades