Cisco-kwetsbaarheid om systemen te laten crashen in het wild gebruikt

Het beveiligingsteam van Cisco onthulde eerder dit jaar dat er een zero-day-kwetsbaarheid zat in producten die Adaptive Security Appliance (ASA)- en Firepower Threat Defense (FTD)-software draaien. Nu blijkt dat die kwetsbaarheid in het wild misbruikt is. Er zijn nog geen patches voor het probleem.

De kwetsbaarheid en de actieve aanvallen werden ontdekt toen werknemers van Cisco reageerden op iemand die ondersteuning nodig had. De kwetsbaarheid, met code CVE-2018-15454, zit in de Session Initiation Protocol (SIP) inspectie-engine van ASA- en FTD-software.

De kwetsbaarheid kan een aanvaller op afstand in staat brengen om een getroffen apparaat te herladen of een hoge CPU te triggeren, wat resulteert in een DoS-toestand. SIP-inspectie staat standaard aan in alle ASA- en FTD-softwarepakketten, waardoor een groot aantal Cisco-apparaten kwetsbaar zouden zijn. De volgende producten zijn getroffen als ze ASA 9.4 en nieuwer of FTD 6.0 en nieuwer draaien:

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4100 Series Security Appliance
  • Firepower 9300 ASA Security Module
  • FTD Virtual (FTDv)

Maatregelen

Het bedrijf heeft drie beperkende maatregelen aangeboden die eigenaren van de apparaten kunnen nemen om te voorkomen dat een aanvaller hun hardware laat crashen. Eén daarvan is dat apparaateigenaren de SIP-inspectie uitschakelen. Mocht een eigenaar het IP-adres van een aanvaller kunnen identificeren, dan is het mogelijk om verkeer van dat IP-adres te blokkeren met het ASA- en FTD-filtersysteem voor verkeer.

Cisco stelt verder dat malafide verkeer dat bij de aanvallen werd gedetecteerd ook het 0.0.0.0 IP-adres hebben gebruikt in het “Sent-by Address”-veld, waardoor het voor computers eenvoudig is om het binnenkomende verkeer van een aanvaller te filteren.

In de security advisory van het bedrijf is een handleiding te vinden over hoe deze maatregelen te configureren zijn en hoe te bepalen is of een apparaat getroffen is.