【警告】思科安全设备中的 0day 漏洞已遭利用

编译：360代码卫士团队

周三，思科告知客户称其某些安全设备受一个已遭利用的 0day 漏洞的影响。

这个漏洞的编号是 CVE-2018-15454，与思科 ASA（AdaptiveSecurity Appliance，自适应安全设备）和FTD（FirepowerThreat Defense，火力威胁防御）软件中的会话初始化协议 (SIP) 相关。

远程未认证攻击者能利用该漏洞使受影响设备重新加载或消耗 CPU 资源，从而导致 DoS 条件。这个 bug 和 SIP 流量的处理方式有关，可通过向目标设备以高速率的方式发送特殊构造的 SIP 请求遭触发。

思科表示已在对某个技术协助中心支持案例中意识到漏洞的存在。

漏洞影响 ASA 软件版本 9.4 及后续版本以及 FTD 软件版本6.0及后续版本，前提是 SIP 检测已开启，不过该功能默认启用。受影响产品包括3000系列工业安全设备 (ISA)、ASA Virtual、ASA 5500-X 防火墙；Catalyst 6500 和7600 交换机以及路由器的ASA 服务模块；Firepower 2100、4100 和9300 以及 FTD Virtual。

目前尚不存在补丁或应变措施，不过可通过以下方式缓解：拦截发动攻击的主机、禁用 SIP 检测、过滤向 0.0.0.0 的“Sent-by-Address”流量。思科表示已经在很多发现的攻击中使用了最后一种方法。

至于妥协指标 (IoC)，思科表示如果该漏洞遭利用，那么 show conn port 5060 命令将会显示大量不完整的 SIP 连接。另外，show process cpu-usage non-zero sorted 命令将会提示 CPU 的高消耗状况。

思科表示，“如漏洞遭利用，可导致受影响设备崩溃并重新加载。当设备再次重启后， show crashinfo 的输出将显示 DATAPATH 线程的未知异常终止。客户如遇到该问题应当联系支持中心具体判断是否和漏洞遭利用有关。”

思科产品出现 0day 漏洞并不多见。在过去两年中，思科解决了两个这类问题，一类是“影子经纪人”在暴露和 NSA 相关的方程式组织活动时牵涉的，另外一个是有人从中情局窃取而后遭维基解密公司曝光。

今年至少有两起攻击活动利用了修复后不久的思科 ASA 漏洞。

原文链接

https://www.securityweek.com/cisco-warns-zero-day-vulnerability-security-appliances

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。