کارشناسان سیسکو از یک آسیبپذیری روز-صفرم خبر دادند که حملات فعال در دنیای واقعی مورد بهرهبرداری قرار گرفته است. به این آسیبپذیری شناسهی CVE-2018-15454 اختصاص یافته و موتور بازرسی پروتکل سیپ را در نرمافزارهای (Adaptive Security Appliance (ASA و (Firepower Threat Defense (FTD تحت تاثیر قرار داده است. نرمافزارهای آسیبپذیر نیز بر روی تجعیزت سختافزاری امنیتی شرکت سیسکو مورد استفاده قرار میگیرند. گروهی از مهاجمان ناشناس از این آسیبپذیری بهرهبرداری کرده و بهطور مداوم این دستگاهها را ریاستارت میکنند.
یک مهاجم از راه دور میتواند بدون نیاز به احراز هویت از این آسیبپذیری بهرهبرداری کرده و شرایط منع سرویس ایجاد کند. این آسیبپذیری به دلیل مدیریت نادرست ترافیک SIP بهوجود آمده است. مهاجم میتواند با ارسال درخواستهای SIP از این آسیبپذیری بهرهبرداری کند. در محصولات زیر که از ASA 9.4 و نسخههای بالاتر و FTD 6.0 و نسخههای بالاتر استفاده شده است، این آسیبپذیری وجود دارد.
• 3000 Series Industrial Security Appliance (ISA)
• ASA 5500-X Series Next-Generation Firewalls
• ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
• Adaptive Security Virtual Appliance (ASAv)
• Firepower 2100 Series Security Appliance
• Firepower 4100 Series Security Appliance
• Firepower 9300 ASA Security Module
• FTD Virtual (FTDv)
در زمان افشای این آسیبپذیری هیچ بهروزرسانی برای برطرف کردن این آسیبپذیری در این نرمافزارها ارائه نشده است ولی شرکت سیسکو راهکارهایی را ارائه کرده که خطرات ناشی از این آسیبپذیری را کمتر میکند. یکی از راهکارها غیرفعال کردن بررسی SIP است که در برخی از موارد به دلیل نیاز به این ارتباطات، نشدنی است. برای غیرفعال کردن SIP می توان با پیکربندیهای زیر پیش رفت:
ASA Software
policy-map global_policy
class inspection_default
no inspect sip
FTD Software Releases
configure inspection sip disable
راه دیگر مسدود کردن میزبانها با استفاده از فهرست کنترل دسترسی و یا راهکار جایگزینی shun کردن میزبانها با دستور shun <ip address> در حالت اجرایی است. سیسکو همچنین توصیه کرده است ترافیکی که حاوی سرآیند Sent-by Address برابر با آدرس ۰٫۰٫۰٫۰ هستند فیلتر شوند چرا که دیده شده این بستهها ترافیک مخربی هستند که منجر به فروپاشی دستگاهها و نرمافزارهای امنیتی میشوند. در آخرین راهکار نیز سیسکو پیشنهاد داده با استفاده از (Modular Policy Framework (MPF محدودیت نرخ بر روی ترافیک SIP اعمال شود. به کاربران این نرمافزارها توصیه میشود تا زمانیکه بهروزرسانیهای مربوطه منتشر شود، یکی از این راهکارها را اجرا کنند.