آسیب‌پذیری منع سرویس در نرم‌افزارهای محصولات سیسکو در حملات فعال مورد بهره‌برداری قرار گرفت

 

کارشناسان سیسکو از یک آسیب‌پذیری روز-صفرم خبر دادند که حملات فعال در دنیای واقعی مورد بهره‌برداری قرار گرفته است. به این آسیب‌پذیری شناسه‌ی CVE-2018-15454 اختصاص یافته و موتور بازرسی پروتکل سیپ را در نرم‌افزارهای (Adaptive Security Appliance (ASA و (Firepower Threat Defense (FTD تحت تاثیر قرار داده است. نرم‌افزارهای آسیب‌پذیر نیز بر روی تجعیزت سخت‌افزاری امنیتی شرکت سیسکو مورد استفاده قرار می‌گیرند. گروهی از مهاجمان ناشناس از این آسیب‌پذیری بهره‌برداری کرده و به‌طور مداوم این دستگاه‌ها را ری‌استارت می‌کنند.


یک مهاجم از راه دور می‌تواند بدون نیاز به احراز هویت از این آسیب‌پذیری بهره‌برداری کرده و شرایط منع سرویس ایجاد کند. این آسیب‌پذیری به دلیل مدیریت نادرست ترافیک SIP  به‌وجود آمده است. مهاجم می‌تواند با ارسال درخواست‌های SIP  از این آسیب‌پذیری بهره‌برداری کند. در محصولات زیر که از ASA 9.4 و نسخه‌های بالاتر و FTD 6.0 و نسخه‌های بالاتر استفاده شده است، این آسیب‌پذیری وجود دارد.

 

•    3000 Series Industrial Security Appliance (ISA)
•    ASA 5500-X Series Next-Generation Firewalls
•    ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
•    Adaptive Security Virtual Appliance (ASAv)
•    Firepower 2100 Series Security Appliance
•    Firepower 4100 Series Security Appliance
•    Firepower 9300 ASA Security Module
•    FTD Virtual (FTDv)


در زمان افشای این آسیب‌پذیری هیچ به‌روزرسانی برای برطرف کردن این آسیب‌پذیری در این نرم‌افزارها ارائه نشده است ولی شرکت سیسکو راه‌کارهایی را ارائه کرده که خطرات ناشی از این آسیب‌پذیری را کمتر می‌کند. یکی از راه‌کارها غیرفعال کردن بررسی SIP است که در برخی از موارد به دلیل نیاز به این ارتباطات، نشدنی است. برای غیرفعال کردن SIP می توان با پیکربندی‌های زیر پیش رفت:


ASA Software 
policy-map global_policy
class inspection_default

no inspect sip


FTD Software Releases
configure inspection sip disable


راه دیگر مسدود کردن میزبان‌ها با استفاده از فهرست کنترل دسترسی و یا راه‌کار جایگزینی shun کردن میزبان‌ها با دستور shun <ip address> در حالت اجرایی است. سیسکو همچنین توصیه کرده است ترافیکی که حاوی سرآیند Sent-by Address برابر با آدرس ۰٫۰٫۰٫۰ هستند فیلتر شوند چرا که دیده شده این بسته‌ها ترافیک مخربی هستند که منجر به فروپاشی دستگاه‌ها و نرم‌افزارهای امنیتی می‌شوند. در آخرین راه‌کار نیز سیسکو پیشنهاد داده با استفاده از (Modular Policy Framework (MPF محدودیت نرخ بر روی ترافیک SIP اعمال شود. به کاربران این نرم‌افزارها توصیه می‌شود تا زمانی‌که به‌روزرسانی‌های مربوطه منتشر شود، یکی از این راه‌کارها را اجرا کنند.
 

منبع

پست‌های مشابه

Leave a Comment