Atacantes utilizan vulnerabilidad de "día cero" para reiniciar dispositivos cisco.



Atacantes desconocidos han explotado una vulnerabilidad en el software que se ejecuta en productos de hardware de seguridad de Cisco. El error podría desencadenar un reinicio de los dispositivos afectados, el equivalente a una condición de denegación de servicio (DoS).

Cisco descubrió el problema al abordar un caso de soporte y es consciente de que se está realizando una explotación activa.

La vulnerabilidad identificada como CVE-2018-15454 está presente en motor de inspección que está por defecto en los Firewall Cisco ASA que analiza el protocolo de iniciación de sesiones(SIP), en todos los softwares Firepower Threat Defense(FTD)

Si no se logra bloquear y reiniciar el dispositivo, el efecto de la vulnerabilidad implica directamente en el aumento de uso de la CPU al 100% haciendo que este no trabaje de manera adecuada, ralentizando todos los procesos.

"La vulnerabilidad se debe al manejo incorrecto del tráfico SIP. Un atacante podría aprovechar esta vulnerabilidad al enviar solicitudes SIP diseñadas específicamente para desencadenar este problema a una alta tasa en un dispositivo afectado", dice la advertencia.


Los equipos que actualmente están afectos a esta vulnerabilidad son

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4100 Series Security Appliance
  • Firepower 9300 ASA Security Module
  • FTD Virtual (FTDv)

En este momento no hay una actualización de software que solucione el problema, pero existen varias opciones de mitigación.

Una solución es deshabilitar la inspección SIP, pero esto no es factible en muchos casos, ya que podría romper las conexiones SIP.

Otra opción es bloquear el tráfico de las direcciones IP ofensivas utilizando una lista de control de acceso (ACL); o para usar el comando 'shun' en el modo EXEC para detener los paquetes de la IP del atacante, esto no es un método persistente, ya que está modificando la ACL, aunque

Cisco notó que el tráfico ofensivo tiene el encabezado 'Dirección de envío' establecido en 0.0.0.0, un valor no válido. Los administradores pueden usar este patrón para identificar los paquetes defectuosos y evitar que el dispositivo de seguridad se bloquee.