Злоумышленники активно эксплуатируют уязвимость в межсетевых экранах Cisco

Команда безопасности Cisco раскрыла информацию об уязвимости, затрагивающей программное обеспечение Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD). По данным инженеров компании, уязвимость (CVE-2018-15454) активно используется злоумышленниками. Судя по всему, речь идет не о массовой эксплуатации, а об ограниченном числе атак.

Проблема была обнаружена после обращения одного из клиентов производителя в службу техподдержки. Согласно опубликованному предупреждению, CVE-2018-15454 затрагивает движок SIP (Session Initiation Protocol) в составе ASA и FTD и позволяет неавторизованному атакующему удаленно вызвать перезагрузку или повысить нагрузку на центральный процессор, что приведет к отказу в обслуживании. Проблема существует в связи с некорректной обработкой SIP трафика. Злоумышленник может проэксплуатировать уязвимость путем отправки специально сформированного SIP запроса.

Сотрудники Cisco уже подтвердили наличие уязвимости в продуктах, работающих на базе версий ASA 9.4 и выше или FTD 6.0 и более поздних, в том числе: 3000 Series Industrial Security Appliance (ISA), ASA 5500-X Series Next-Generation Firewalls, ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers, Adaptive Security Virtual Appliance (ASAv), Firepower 2100 Series Security Appliance, Firepower 4100 Series Security Appliance, Firepower 9300 ASA Security Module, FTD Virtual (FTDv).

В настоящее время патч, устраняющий уязвимость, недоступен, а пока компания рекомендует отключить SIP и заблокировать трафик с IP-адреса злоумышленника, если владелец атакуемого устройства смог его идентифицировать. Отмечается, что вредоносный трафик можно также распознать по IP-адресу 0.0.0.0 в поле «Sent-by Address».