Написать пост

Cisco сообщила об обнаружении уязвимости обработки SIP

Аватар Сергей Штукатуров

Определённым образом настроенные SIP-запросы могут сильно замедлить или перезагрузить устройство. Обнаружены первые случаи практического применения бага.

Обложка поста Cisco сообщила об обнаружении уязвимости обработки SIP

Служба техподдержки Cisco во время разрешения запроса пользователя обнаружила уязвимость в службе проверки Session Initiation Protocol (SIP). С помощью этого эксплойта злоумышленник может спровоцировать на устройстве состояние отказа в обслуживании (DoS). Уязвимость получила статус нулевого дня, так как уже есть сведения о том, что её используют на практике.

Неверная обработка SIP-запросов

Атаке подвержены два компонента прошивки оборудования: Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), устанавливаемые на промышленные роутеры и брандмауэры. Большое количество определённым образом настроенных SIP-запросов максимально загружает CPU устройства или даже вызывает перезапуск системы. Для реализации эксплойта злоумышленнику не требуется предварительная авторизация.

Ошибка найдена в ASA 9.4 и старше, а также в FTD 6.0 и старше. Компания опубликовала список потенциально уязвимых продуктов:

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module для Cisco Catalyst 6500 Series Switches и Cisco 7600 Series Routers
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4100 Series Security Appliance
  • Firepower 9300 ASA Security Module
  • FTD Virtual (FTDv)

Представители Cisco отмечают, что указанные продукты могут быть подвержены атаке только если на них запущена служба проверки SIP и модули ASA и FTD. Кстати, в качестве одного из методов защиты компания предлагает отключить этот сервис. Выполнить операцию можно из командной строки (CLI):

  • Cisco ASA Softwarepolicy-map global_policy class inspection_default no inspect sip
  • Cisco FTD Software Releasesconfigure inspection sip disable

Второй способ защиты — блокировка IP-адреса атакующего. Обнаружить его можно по большому количеству SIP-запросов на порт 5060 и высокой нагрузке на CPU.

В рассматривавшихся специалистами компании случаях вредоносные пакеты содержали неверный атрибут Sent-by Address 0.0.0.0. В качестве защиты Cisco рекомендует изменить конфигурацию устройства следующим образом:

			regex VIAHEADER "0.0.0.0"

policy-map type inspect sip P1
parameters
match message-path regex VIAHEADER
 drop

policy-map global_policy
class inspection_default
 no inspect sip
 inspect sip P1
		

Кроме того, можно ограничить трафик SIP-запросов. На каждой модели устройства это делается разными способами, компания просит пользователей обратиться в службу поддержки за инструкциями.

Cisco работает над устранением уязвимости и обещает выпустить апдейт в ближайшее время. Опубликован список продуктов, гарантировано не подверженных атаке. Это ASA 1000V Cloud Firewall и ASA 5500 Series Adaptive Security Appliances.

Уязвимости интернета вещей всё чаще становятся входными воротам в систему для злоумышленников. В апреля 2018 года с помощью взломанных коммутаторов Cisco хакеры провели масштабную атаку на Интернет, уничтожая конфигурирующие данные в незащищённых устройствах.

Следите за новыми постами
Следите за новыми постами по любимым темам
1К открытий1К показов