Tenable ブログ
ブログ通知を受信する
Cisco ASAおよびFirepowerの脆弱性を標的としたエクスプロイトによる攻撃が野生で発生 - 即時に緩和策を適用する必要あり
シスコは、適応型セキュリティアプライアンス(ASA)とFirepowerシステムのセッション開始プロトコル(SIP)の脆弱性が野生で攻撃されていると報告しました。 現在、パッチはありません。部分的なパッチがリリースされています。
背景
シスコは、10月31日にアドバイザリーを発行し、普及している適応型セキュリティアプライアンス(ASA)とFirepower Threat Defenseソフトウェアに現在野生で悪用されているセッション開始プロトコル(SIP)の脆弱性があることを警告しました。 11月1日午前10:00現在、(EST)、パッチまたは回避策はありません。シスコは緩和策のガイダンスを提供しています。
11月9日更新: シスコは、更新されたバージョンのリリースを開始し、アドバイザリページでは部分的な修正が提供されています。
11月19日更新: シスコは、アドバイザリの「修正済みソフトウェア」セクションでこの脆弱性に対するサポートや更新プログラムを提供しています。
影響の評価
Cisco: 「このアドバイザリーで説明されている脆弱性が攻撃されると、show connポート5060の出力に多数の不完全なSIP接続が表示され、show processes cpu-usage sorted の出力ではCPU使用率が高く表示されます。この脆弱性が攻撃されると、サービス拒否(DOS)が発生し、影響を受けるデバイスがクラッシュして再起動される可能性があります。 デバイスが再起動すると、show crashinfoの出力には、DATAPATHスレッドの未知のアボートが表示されます。」
脆弱性の詳細
この脆弱性は、不適切なSIP検査によって引き起こされると報告されています。 SIPは、Voice over IP(VoIP)に使用される一般的なプロトコルで、ファイル転送、インスタントメッセージング、ビデオ会議、ストリーミングメディアにも使用されます。 SIPは、TCP、UDP、または他のネットワーキングプロトコルで実行できます。 影響を受けているシスコのデバイスは、次のとおりです。
- 3000シリーズ産業用セキュリティアプライアンス(ISA)
- ASA 5500-Xシリーズ 世代ファイアウォール
- Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用のASAサービスモジュール
- 適応型セキュリティ仮想アプライアンス(ASAv)
- Firepower 2100シリーズセキュリティアプライアンス
- Firepower 4100シリーズセキュリティアプライアンス
- Firepower 9300 ASAセキュリティモジュール
- FTD Virtual (FTDv)
この脆弱性は、次のデバイスには影響しないと報告されています:
- ASA 1000V Cloud Firewall
- ASA 5500シリーズ適応型セキュリティアプライアンス
緊急措置が必要
この脆弱性は実世界で悪用されていて、SIP検査は「デフォルではオン」になっているため、ユーザはすぐに更新プログラムを適用するか、Cisco ASAPが提供する軽減策を適用する必要があります。いくつかの緩和策が提供されています。
- SIP検査を無効にする(デフォルトではオン):SIP検査を無効にすると、この脆弱性に対する攻撃経路が完全に閉鎖されますが、この対策が適していない場合もあります。 特に、NAT(Network Address Translation)がSIPトラフィックに適用される場合、またはSIP通信に必要なすべてのポートがACL経由で開かれていない場合、SIP検査を無効にするとSIP接続が切断されます。SIP検査を無効にするには、次の設定を行います。
Cisco ASAソフトウェアおよびCisco FTDソフトウェア 6.2以降(FTD 6.2以降ではCisco FMCを使用して、FlexConfigポリシーで次を追加します)。
policy-map global_policy class inspection_default no inspect sip
Cisco FTDソフトウェア 6.2未満:
configure inspection sip disable
さらに、以下の緩和策については、アドバイザリーに記載されています。
- 攻撃ホストをブロックする
- 送信元0.0.0.0アドレスをフィルタリングする。このアドレスは、攻撃者による探索に使用されることが報告されています。
- SIPトラフィックの使用率の制限
影響を受けているシステムの特定
この脆弱性を特定するためのNessusプラグイン一覧はこちらです。
詳細情報
現代のアタックサーフェスを総合的に管理するCyber Exposureプラットフォーム、Tenable.ioの詳細はこちら。Tenable.io Vulnerability Managementの60日間無料トライアルをお試し下さい。
関連記事
CVE-2024-7593: Ivanti Virtual Traffic Manager Authentication Bypass Vulnerability
August 14, 2024Ivanti released a patch for a critical severity authentication bypass vulnerability and a warning that exploit code is publicly available
CVE-2024-20419: Cisco Smart Software Manager On-Prem Password Change Vulnerability
August 9, 2024Critical vulnerability in Cisco Smart Software Manager On-Prem exposes systems to unauthorized password changes, exploit code now available.BackgroundOn July 17, 2024, Cisco published an advisory for ...
Detecting Risky Third-party Drivers on Windows Assets
August 7, 2024Kernel-mode drivers are critical yet risky components of the Windows operating system. Learn about their functionality, the dangers they pose, and how Tenable's new plugins can help identify and mitigate vulnerabilities using community-driven resources like LOLDrivers.
CVE-2024-7593: Ivanti Virtual Traffic Manager Authentication Bypass Vulnerability
August 14, 2024Ivanti released a patch for a critical severity authentication bypass vulnerability and a warning that exploit code is publicly available
Microsoft’s August 2024 Patch Tuesday Addresses 88 CVEs
August 13, 2024Microsoft addresses 88 CVEs with seven critical vulnerabilities and 10 zero-day vulnerabilities, six of which were exploited in the wild.
Compromising Microsoft's AI Healthcare Chatbot Service
August 13, 2024Tenable Research discovered multiple privilege-escalation issues in the Azure Health Bot Service via a server-side request forgery (SSRF), which allowed researchers access to cross-tenant resources.
- Vulnerability Management
- Vulnerability Scanning