Tenable ブログ
ブログ通知を受信するCisco ASAおよびFirepowerの脆弱性を標的としたエクスプロイトによる攻撃が野生で発生 - 即時に緩和策を適用する必要あり
シスコは、適応型セキュリティアプライアンス(ASA)とFirepowerシステムのセッション開始プロトコル(SIP)の脆弱性が野生で攻撃されていると報告しました。 現在、パッチはありません。部分的なパッチがリリースされています。
背景
シスコは、10月31日にアドバイザリーを発行し、普及している適応型セキュリティアプライアンス(ASA)とFirepower Threat Defenseソフトウェアに現在野生で悪用されているセッション開始プロトコル(SIP)の脆弱性があることを警告しました。 11月1日午前10:00現在、(EST)、パッチまたは回避策はありません。シスコは緩和策のガイダンスを提供しています。
11月9日更新: シスコは、更新されたバージョンのリリースを開始し、アドバイザリページでは部分的な修正が提供されています。
11月19日更新: シスコは、アドバイザリの「修正済みソフトウェア」セクションでこの脆弱性に対するサポートや更新プログラムを提供しています。
影響の評価
Cisco: 「このアドバイザリーで説明されている脆弱性が攻撃されると、show connポート5060の出力に多数の不完全なSIP接続が表示され、show processes cpu-usage sorted の出力ではCPU使用率が高く表示されます。この脆弱性が攻撃されると、サービス拒否(DOS)が発生し、影響を受けるデバイスがクラッシュして再起動される可能性があります。 デバイスが再起動すると、show crashinfoの出力には、DATAPATHスレッドの未知のアボートが表示されます。」
脆弱性の詳細
この脆弱性は、不適切なSIP検査によって引き起こされると報告されています。 SIPは、Voice over IP(VoIP)に使用される一般的なプロトコルで、ファイル転送、インスタントメッセージング、ビデオ会議、ストリーミングメディアにも使用されます。 SIPは、TCP、UDP、または他のネットワーキングプロトコルで実行できます。 影響を受けているシスコのデバイスは、次のとおりです。
- 3000シリーズ産業用セキュリティアプライアンス(ISA)
- ASA 5500-Xシリーズ 世代ファイアウォール
- Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用のASAサービスモジュール
- 適応型セキュリティ仮想アプライアンス(ASAv)
- Firepower 2100シリーズセキュリティアプライアンス
- Firepower 4100シリーズセキュリティアプライアンス
- Firepower 9300 ASAセキュリティモジュール
- FTD Virtual (FTDv)
この脆弱性は、次のデバイスには影響しないと報告されています:
- ASA 1000V Cloud Firewall
- ASA 5500シリーズ適応型セキュリティアプライアンス
緊急措置が必要
この脆弱性は実世界で悪用されていて、SIP検査は「デフォルではオン」になっているため、ユーザはすぐに更新プログラムを適用するか、Cisco ASAPが提供する軽減策を適用する必要があります。いくつかの緩和策が提供されています。
- SIP検査を無効にする(デフォルトではオン):SIP検査を無効にすると、この脆弱性に対する攻撃経路が完全に閉鎖されますが、この対策が適していない場合もあります。 特に、NAT(Network Address Translation)がSIPトラフィックに適用される場合、またはSIP通信に必要なすべてのポートがACL経由で開かれていない場合、SIP検査を無効にするとSIP接続が切断されます。SIP検査を無効にするには、次の設定を行います。
Cisco ASAソフトウェアおよびCisco FTDソフトウェア 6.2以降(FTD 6.2以降ではCisco FMCを使用して、FlexConfigポリシーで次を追加します)。
policy-map global_policy class inspection_default no inspect sip
Cisco FTDソフトウェア 6.2未満:
configure inspection sip disable
さらに、以下の緩和策については、アドバイザリーに記載されています。
- 攻撃ホストをブロックする
- 送信元0.0.0.0アドレスをフィルタリングする。このアドレスは、攻撃者による探索に使用されることが報告されています。
- SIPトラフィックの使用率の制限
影響を受けているシステムの特定
この脆弱性を特定するためのNessusプラグイン一覧はこちらです。
詳細情報
現代のアタックサーフェスを総合的に管理するCyber Exposureプラットフォーム、Tenable.ioの詳細はこちら。Tenable.io Vulnerability Managementの60日間無料トライアルをお試し下さい。
関連記事
- Vulnerability Management
- Vulnerability Scanning