Zeroday-lek in Cisco ASA-software actief aangevallen

[Captain Kirk]

Een zeroday-lek in de Adaptive Security Appliance (ASA) en Firepower Threat Defense (FTD) software van Cisco wordt op dit moment actief aangevallen en een beveiligingsupdate is nog niet beschikbaar, zo laat de netwerkgigant zelf weten. Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller op afstand een denial of service veroorzaken.

De Adaptive Security Appliance (ASA) software bevindt zich in in allerlei netwerkapparaten van Cisco, zoals firewalls, security appliances en routers, die door bedrijven en organisaties worden gebruikt. De kwetsbaarheid wordt veroorzaakt door het niet goed verwerken van SIP-verkeer. Door het versturen van specifieke SIP-verzoeken kan een aanvaller het netwerkapparaat herstarten of voor een hoge processorbelasting zorgen, waardoor een denial of service ontstaat.

Cisco meldt in het beveiligingsbulletin over de kwetsbaarheid dat er nog geen updates of workarounds voorhanden zijn. Het beveiligingslek is aanwezig in de Cisco ASA-software versie 9.4 en nieuwer en Cisco FTD-software versie 6.0 en nieuwer als SIP-inspectie staat ingeschakeld en de software op bepaalde netwerkapparaten draait.

Netwerkbeheerders kunnen aan de uitvoer van "show conn port 5060" zien of ze worden aangevallen. In dit geval wordt er een groot aantal onvolledige SIP-verbindgen getoond en de uitvoer laat ook een hoge processorbelasting zien. Ook kunnen aanvallen ervoor zorgen dat het netwerkapparaat crasht of herstart. Hoewel er geen updates of workarounds zijn kunnen beheerders wel SIP-inspectie uitschakelen, ip-adressen blokkeren of verkeer met ongeldige waardes filteren.

 

 

bron: security.nl