中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Cisco ASA及FTD軟件拒絕服務的漏洞是什么

發布時間:2021-12-20 19:28:58 來源:億速云 閱讀:138 作者:柒染 欄目:大數據

Cisco ASA及FTD軟件拒絕服務的漏洞是什么,相信很多沒有經驗的人對此束手無策,為此本文總結了問題出現的原因和解決方法,通過這篇文章希望你能解決這個問題。

0x00 事件背景

2018-10-31 Cisco官方發布安全預警 多款運行Cisco Adaptive Security Appliance (ASA)和Cisco Firepower Threat Defense (FTD) 的設備受到影響。這兩款軟件均支持Session Initiation Protocol (SIP)。

而在(SIP)檢查引擎中的漏洞受到未經身份驗證的遠程攻擊導致受影響的設備重新啟動或持續高CPU占用率,從而導致拒絕服務(DoS)

該漏洞是由于SIP流量處理不當造成的。攻擊者可以通過高速率發送特定的SIP請求到受影響的設備來利用此漏洞。導致設備崩潰重啟。

0x01 影響范圍

Cisco Adaptive Security Appliance (ASA) 9.4及以上
Cisco Firepower Threat Defense (FTD)    6.0及以上

影響如下設備

  • 3000 Series Industrial Security Appliance (ISA)

  • ASA 5500-X Series Next-Generation Firewalls

  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers

  • Adaptive Security Virtual Appliance (ASAv)

  • Firepower 2100 Series Security Appliance

  • Firepower 4100 Series Security Appliance

  • Firepower 9300 ASA Security Module

  • FTD Virtual (FTDv)

默認情況下,Cisco ASA軟件和Cisco FTD軟件均啟用SIP檢查。所以影響較為廣泛

已確認不影響如下設備

  • ASA 1000V Cloud Firewall

  • ASA 5500 Series Adaptive Security Appliances

 0x02 修復建議


(ASA)設備可以通過如下命令來檢查是否處于受影響的版本

ciscoasa# show version | include Version

(FTD)設備可以通過如下命令來檢查是否處于受影響的版本

show version

思科官方目前提出了三種解決方案來緩解受到的影響

選項1:阻止違規主機

用戶可以使用訪問控制列表(ACL)阻止來自連接表中的特定源IP地址的流量。
應用ACL后,請確保在執行模式下使用clear conn address <ip_address>命令清除該源IP的現有連接。
或者,可以在執行模式下使用shun <ip_address>命令回避違規主機。
這將阻止來自該源IP的所有數據包,而無需更改配置。
但是請注意,重啟該方案會失效。

選項2:禁用SIP檢查

禁用SIP檢查將完全避免收到該漏洞的影響。
但是它可能不適合所有用戶。
如果NAT應用于SIP流量,或者如果不是通過ACL打開SIP通信所需的所有端口,禁用SIP檢查將破壞SIP連接。
要禁用SIP檢查,請配置以下內容:
Cisco ASA軟件和Cisco FTD軟件版本6.2及更高版本(在FTD 6.2及更高版本中使用Cisco FMC通過FlexConfig策略添加以下內容)

Cisco ASA Software and Cisco FTD Software Releases 6.2 and later (in FTD 6.2 and later use Cisco FMC to add the following via FlexConfig policy):
policy-map global_policy
class inspection_default
 no inspect sip
Cisco FTD Software Releases prior to 6.2:
configure inspection sip disable

選項3:過濾發送地址0.0.0.0

在許多情況下,已發現違規流量將“已發送地址”設置為無效值0.0.0.0。
如果管理員確認違規流量在其環境中擁有相同的模式(例如通過數據包捕獲確認),則可以應用以下配置來防止崩潰:

regex VIAHEADER "0.0.0.0"

policy-map type inspect sip P1
parameters
match message-path regex VIAHEADER
drop

policy-map global_policy
class inspection_default
no inspect sip
inspect sip P1

在FTD 6.2及更高版本中,使用Cisco FMC通過FlexConfig策略添加此配置。

看完上述內容,你們掌握Cisco ASA及FTD軟件拒絕服務的漏洞是什么的方法了嗎?如果還想學到更多技能或想了解更多相關內容,歡迎關注億速云行業資訊頻道,感謝各位的閱讀!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

西乌| 盘锦市| 长白| 白银市| 饶河县| 东宁县| 礼泉县| 商城县| 平原县| 任丘市| 蒲城县| 广德县| 新闻| 景德镇市| 盐津县| 余干县| 海南省| 桦南县| 将乐县| 寻甸| 阿拉善右旗| 无极县| 鄂尔多斯市| 渝中区| 锦州市| 昌图县| 陈巴尔虎旗| 珲春市| 宜丰县| 包头市| 收藏| 喜德县| 武宣县| 什邡市| 东阳市| 宁强县| 涟源市| 巴马| 扬中市| 六枝特区| 博爱县|