Cisco сообщила об обнаружении уязвимости обработки SIP

Служба техподдержки Cisco во время разрешения запроса пользователя обнаружила уязвимость в службе проверки Session Initiation Protocol (SIP). С помощью этого эксплойта злоумышленник может спровоцировать на устройстве состояние отказа в обслуживании (DoS). Уязвимость получила статус нулевого дня, так как уже есть сведения о том, что её используют на практике.

Неверная обработка SIP-запросов

Атаке подвержены два компонента прошивки оборудования: Cisco Adaptive Security Appliance (ASA) и Cisco Firepower Threat Defense (FTD), устанавливаемые на промышленные роутеры и брандмауэры. Большое количество определённым образом настроенных SIP-запросов максимально загружает CPU устройства или даже вызывает перезапуск системы. Для реализации эксплойта злоумышленнику не требуется предварительная авторизация.

Ошибка найдена в ASA 9.4 и старше, а также в FTD 6.0 и старше. Компания опубликовала список потенциально уязвимых продуктов:

• 3000 Series Industrial Security Appliance (ISA)
• ASA 5500-X Series Next-Generation Firewalls
• ASA Services Module для Cisco Catalyst 6500 Series Switches и Cisco 7600 Series Routers
• Adaptive Security Virtual Appliance (ASAv)
• Firepower 2100 Series Security Appliance
• Firepower 4100 Series Security Appliance
• Firepower 9300 ASA Security Module
• FTD Virtual (FTDv)

Представители Cisco отмечают, что указанные продукты могут быть подвержены атаке только если на них запущена служба проверки SIP и модули ASA и FTD. Кстати, в качестве одного из методов защиты компания предлагает отключить этот сервис. Выполнить операцию можно из командной строки (CLI):

• Cisco ASA Softwarepolicy-map global_policy class inspection_default no inspect sip
• Cisco FTD Software Releasesconfigure inspection sip disable

Второй способ защиты — блокировка IP-адреса атакующего. Обнаружить его можно по большому количеству SIP-запросов на порт 5060 и высокой нагрузке на CPU.

В рассматривавшихся специалистами компании случаях вредоносные пакеты содержали неверный атрибут Sent-by Address 0.0.0.0. В качестве защиты Cisco рекомендует изменить конфигурацию устройства следующим образом:

			regex VIAHEADER "0.0.0.0"

policy-map type inspect sip P1
parameters
match message-path regex VIAHEADER
 drop

policy-map global_policy
class inspection_default
 no inspect sip
 inspect sip P1
		

Кроме того, можно ограничить трафик SIP-запросов. На каждой модели устройства это делается разными способами, компания просит пользователей обратиться в службу поддержки за инструкциями.

Cisco работает над устранением уязвимости и обещает выпустить апдейт в ближайшее время. Опубликован список продуктов, гарантировано не подверженных атаке. Это ASA 1000V Cloud Firewall и ASA 5500 Series Adaptive Security Appliances.

Уязвимости интернета вещей всё чаще становятся входными воротам в систему для злоумышленников. В апреля 2018 года с помощью взломанных коммутаторов Cisco хакеры провели масштабную атаку на Интернет, уничтожая конфигурирующие данные в незащищённых устройствах.