Hackers exploram vulnerabilidade de zero day da Cisco ASA e FTD

02/11/2018 mindsecblog Notícias 1

Hackers exploram vulnerabilidade de zero day da Cisco ASA e FTD em resultando em negação de serviço – DoS

Uma vulnerabilidade crítica no SIP (Session Initiation Protocol) do software Cisco ASA e FTD permite que um invasor remoto não autenticado trave e recarregue o dispositivo. A vulnerabilidade ocorre devido ao manuseio inadequado do tráfego SIP.

Um invasor remoto pode explorar a vulnerabilidade do Cisco Zero Day enviando uma solicitação SIP criada que acionaria o alto uso da CPU ou recarregaria os resultados do dispositivo na condição de negação de serviço.

A Cisco informa que a atualização de segurança para solucionar a vulnerabilidade ainda não está disponível e, no momento, não há solução alternativa para essa vulnerabilidade, segundo o comunicado da Cisco.

Produtos Afetados – Cisco Zero Day

A vulnerabilidade afeta o Cisco ASA Software Release 9.4 e posterior e o Cisco FTD Software 6.0 e posterior, se a inspeção do SIP estiver ativada.


3000 Series Industrial Security Appliance (ISA)
ASA 5500-X Series Next-Generation Firewalls
ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
Adaptive Security Virtual Appliance (ASAv)
Firepower 2100 Series Security Appliance
Firepower 4100 Series Security Appliance
Firepower 9300 ASA Security Module
FTD Virtual (FTDv)

A indicação do dispositivo em ataque

Se algum dispositivo vulnerável for explorado ativamente por invasores, os administradores poderão ver um grande número de conexões SIP incompletas sobre a porta de conexão 5060 e a saída de processos de exibição não-zero classificados por uso da CPU mostrará uma alta utilização da CPU.

A exploração bem-sucedida do dispositivo leva o dispositivo a travar e recarregar para liberar atualizações de software que abordam a vulnerabilidade descrita neste comunicado.

A vulnerabilidade pode ser rastreada como CVE-2018-15454 e recebe a pontuação básica 8.6.

Mitigação

O Site da CISCO Não há soluções alternativas que abordem essa vulnerabilidade; no entanto, existem várias opções de atenuação.

Opção 1: desativar a inspeção SIP

Desativar a inspeção do SIP fechará completamente o vetor de ataque para esta vulnerabilidade. No entanto, pode não ser adequado para todos os clientes. Em particular, desabilitar a inspeção SIP interromperia as conexões SIP,  se NAT fosse aplicado ao tráfego SIP ou se nem todas as portas necessárias para a comunicação SIP fossem abertas via ACL.

Para desabilitar a inspeção do SIP, configure o seguinte:

  • Cisco ASA Software 
    policy-map global_policy
     class inspection_default
      no inspect sip
  • Cisco FTD Software Releases
    configure inspection sip disable

Opção 2: bloquear o (s) host (s) ofensivo (s)

O cliente pode bloquear o tráfego do endereço IP de origem específico visto na tabela de conexões usando uma lista de controle de acesso (ACL). Depois de aplicar a ACL, certifique-se de limpar as conexões existentes para essa origem usando o comando clear conn < IP address >  no modo EXEC.

Como alternativa, o host incorreto pode ser evitado usando o comando
shun <ip_address> no modo EXEC. Isso bloqueará todos os pacotes desse IP de origem sem a necessidade de uma alteração de configuração. Entretanto, esteja ciente de que o shunning não persiste durante a reinicialização.

Opção 3: Filtrar no endereço enviado de 0.0.0.0

Em casos observados, o tráfego ofensivo foi encontrado com o endereço enviado definido como o valor inválido de 0.0.0.0. Se um administrador confirmar que o tráfego incorreto mostra o mesmo padrão em seu ambiente (por exemplo, confirmado por meio de captura de pacote), a seguinte configuração pode ser aplicada para evitar a falha:

regex VIAHEADER "0.0.0.0"

policy-map type inspect sip P1
parameters
match message-path regex VIAHEADER
 drop

policy-map global_policy
class inspection_default
 no inspect sip
 inspect sip P1

No FTD 6.2 e posterior, use o Cisco Firepower Management Center (FMC)  adicione essa configuração através da política FlexConfig.

Opção 4: Limite de tráfego SIP de taxa

Essa vulnerabilidade também pode ser atenuada pela implementação de um limite de taxa no tráfego SIP usando o Modular Policy Framework (MPF). A implementação dessas políticas será diferente, dependendo dos detalhes da implantação e das opções de implementação feitas em cada ambiente. Os clientes que precisam de assistência para implementar uma política de MPF devem entrar em contato com o Cisco TAC ou com o representante de
Advanced Services  (AS) para obter assistência.

Nota: Um invasor pode explorar esta vulnerabilidade usando pacotes IP falsificados.

Fix

As atualizações de software que abordam a vulnerabilidade descrita no comunicado da CISCO não estão disponíveis no momento. 

Para maiores informações o leitor pode acessar diretamente o link do comunicado clicando em Cisco Security Advisory

Fonte : GBHackers & Cisco Security Advisory

Veja também:

Sobre mindsecblog 2429 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube Linkedin

Artigos Relacionados

Notícias

Google introduz novas proteções para evitar o comprometimento da conta utilizada em aplicativos

20/07/2017 mindsecblog 0

O Google implementou novas proteções que devem reduzir consideravelmente o risco de aplicativos potencialmente mal-intencionados ganharem controle da conta do Google dos usuários. Aparentemente os ataques de phishing sofrido pelos usuários no início de maio, […]

1 Trackback / Pingback

  1. Sistema concede Créditos Sociais baseado no comportamento do indivíduo

Deixe sua opinião!