Специалисты компании Cisco обнаружили 0-day в программных продуктах Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD), устанавливаемых на промышленные брандмауэры и роутеры производителя. По словам представителей компании, уязвимость уже эксплуатируется злоумышленниками.

Брешь связана с неправильной обработкой пакетов данных, передаваемых по протоколу SIP, и может привести к отказу в обслуживании затронутых устройств. Вендор пока не выпустил патчи для этой проблемы, но дал рекомендации о том, как уменьшить вероятность эксплуатации уязвимости.

По сообщению представителей разработчика, удаленный неавторизованный злоумышленник способен передать на устройство вредоносные SIP-запросы, которые вызовут перезапуск оборудования или существенно увеличат нагрузку на процессор. Результатом второго варианта атаки станет отказ в обслуживании.

Бреши, зарегистрированной как CVE-2018-15454, присудили рейтинг 8,6 по шкале CVSS и высокий уровень опасности. Баг присутствует в ASA версии 9.4 и старше, а также в релизе 6.0 программы FTD и старше. Проблема затронула следующие устройства, выпускаемые Cisco:

  • Industrial Security Appliance серии3000;
  • брандмауэры ASA семейства5500-X;
  • сервисный модуль ASA длякоммутаторов серии Cisco Catalyst 6500 и роутеров серии Cisco Catalyst 7600;
  • оборудование Firepower семейств2100, 4100 и 9300;
  • FTD Virtual (FTDv);
  • Adaptive Security Virtual Appliance (ASAv).

Индикатор атаки — большое количество SIP-обращений к порту 5060 или высокая загрузка процессора устройства. В случае неожиданного перезапуска или зависания прибора пользователю рекомендуют обратиться в службу поддержки Cisco, чтобы определить, является ли сбой результатом нападения злоумышленников.

Чтобы понизить риск эксплуатации бреши, до выхода патча производитель рекомендует:

  • отключить проверку входящих SIP-соединений,
  • активировать блокировку адресов, скоторых поступает нелегитимный трафик,
  • фильтровать обращения, содержащие несуществующий IP-адрес 0.0.0.0, часто применяемый злоумышленниками.

Заплатки станут доступны владельцам уязвимых устройств по каналам поддержки Cisco.

Ранее в этом году компания столкнулась с необходимостью патчить серьезный баг в своих продуктах на базе ядра Linux. Уязвимость FragmentStack, связанная с ошибками при повторной обработке IP-пакетов, затронула более 80 решений Cisco. Производителю пришлось несколько раз обновлять бюллетень безопасности, расширяя список программ и оборудования, в которых обнаружили брешь.

Категории: Главное, Уязвимости