Session Initiation Protocol (SIP) är ett signaleringsprotokoll som används inom ip-telefoni. Cisco gick på onsdagen ut med en varning om att attacker tyder på att sip-protokollet kan användas för att överbelasta flera av Ciscos brandväggar, skriver The Register.

Buggen CVE-2018-15454 ligger i Ciscos routermjukvara Firepower Threat Defence installerad i flera olika Adaptive Security Appliance (ASA) -modeller och alltså inte i sip-protokollet.

Varningen från Cisco säger att en angripare kan överbelasta en ASA-brandvägg genom att ”med hög hastighet skicka sip-förfrågningar som utformats för att utnyttja denna sårbarhet”. Eftersom det i skrivande stund inte tagits fram en patch rekommenderar Cisco att administratörer bör hålla koll på om brandväggen tar emot osedvanligt många sip-förfrågningar per sekund, genom kommandot "show conn port 5060". Parallellt bör man hålla koll på processorbelastningen med kommandot ”show processes cpu-usage non-zero”

Om en brandvägg kraschar kommer det finnas ett felmeddelande i loggen som säger ”unknown abort of the DATAPATH thread”.

Administratörer av ASA-brandväggarna kan mota Olle i grind genom att göra följande:

  • Slå av SIP inspection om det inte är nödvändigt.
  • Blockera värdar som sänder misstänkt trafik.
  • Filtrera bort trafik med avsändaradressen 0.0.0.0 (en felaktig adress som Cisco observerat i trafiken från angriparna).
  • Sätt hastighetsbegränsning på sip-trafiken

De ASA-brandväggar som kan drabbas är alla med mjukvaran Cisco ASA 9.4 eller senare, mjukvaran FTD 6.0 eller senare. Dessa körs på plattformarna:

  • 3000 Series Industrial Security Appliance.
  • ASA 5500-X.
  • ASA Services-modulen i Catalyst 6500-switchar.
  • Firepower 2100 och 4100.
  • Firepower 9300 ASA säkerhetsmodul.
  • Och de virtuella modulerna ASAv och FTDv

Läs även: 
Varning: Torii är det mest avancerade IoT-botnätet hittills
11 konkreta tips för att upptäcka intrång i dina system