思科（Cisco）在上周公开披露了一个严重的安全漏洞，该漏洞可能会触发受影响设备的重启，也就是说它为攻击者执行拒绝服务（DoS）攻击创造了条件。 [出自:jiwo.org]

根据思科安全咨询的描述，这个漏洞存在于均支持会话启动协议（SIP）的思科自适应安全设备（ASA）软件和Firepower威胁防御（FTD）软件中，使得运行这两款软件的设备易受到未经身份验证的远程攻击，导致设备重启或保持高CPU占用率，从而导致设备崩溃。

目前，没有针对该漏洞的修复补丁或解决方案可用，但思科在其安全咨询中还是提供了几种方法，可以用作临时的缓解措施。

漏洞可远程利用，且无需身份验证

这个漏洞被标识为CVE-2018-15454，存在于ASA和FTD软件中默认开启的SIP协议检查引擎中。

如果没有导致设备重启或崩溃，也会导致设备保持在一个很高的CPU使用率，进而导致设备运行速度降低，无法完成一些设定的任务。

根据思科发布的安全咨询，该漏洞可以被远程利用，而且不需要身份验证。

该安全咨询写道：“该漏洞是由于对SIP流量的不当处理造成的，攻击者可以通过发送可以通过高速率发送特定的SIP请求到受影响的设备来利用此漏洞。”

ASA 9.4、FTD6.0及更高版本受影响，涵盖多款产品

该漏洞的CVSS评分为8.6，属于一个高危险系数（High）漏洞，影响到思科ASA软件版本9.4及更高版本，以及思科FTD软件版本6.0及更高版本。在启用SIP检查之后，该漏洞就将变为可利用状态，这对于物理和虚拟设备均是如此。

总的来说，受该漏洞影响的思科设备包括以下八类产品：

• 3000系列工业安全设备（ISA）
• 适用于Cisco Catalyst 6500系列交换机和Cisco 7600系列路由器的ASA服务模块
• 自适应安全虚拟设备（ASAv）
• ASA 5500-X系列下一代防火墙
• Firepower 9300 ASA安全模块
• 虚拟FTD（FTDv）
• Firepower 2100系列安全设备
• Firepower 4100系列安全设备

暂无修复补丁或更新可用，思科已提供临时缓解措施

目前，没有针对该漏洞的修复补丁或解决方案可用。但是，思科已经提供了一些方法来作为临时缓解措施。

第一种方法是禁用SIP检查，但在许多情况下这是不可行的，因为它可能会破坏SIP连接。

第二种方法是通过使用访问控制列表（ACL）来阻止来自非法IP地址的流量， 或者在执行EXEC模式下使用“shun”命令来阻止来自攻击者IP的流量。当然，它们都不会是长久办法。

第三种方法涉及到过滤IP地址0.0.0.0，因为思科发现在大多数漏洞利用案例中都存在该地址。

最后一种方法则是通过模块化策略框架（MPF）来实现SIP流量的速率限制。

在思科推出针对CVE-2018-15454的修复补丁或更新之前，我们建议各位用户可以将上述方法都试一遍，并时刻留意思科的官方公告。