A falha possui o CVE -2018-15454, e afeta o motor de inspeção do SIP (Protocolo de Iniciação de Sessão) do ASA e Firepower Threat Defense. Se explorada com sucesso por um atacante remoto, pode levar a uma situação de negação de serviço no dispositivo afetado.

Isto acontece devido a um processamento inapropriado do tráfico SIP. Um atacante pode explorar esta fallha enviando pedidos SIP especificamente para causar este problema, em grande quantidade.

Versões afetadas

ASA 9.4 e seguintes, FTD 6.0 e seguintes

3000 Series Industrial Security Appliance (ISA) ASA 5500-X Series Next-Generation Firewalls ASA Services Module for Cisco Catalyst 6500 Series Switches e Cisco 7600 Series Routers Adaptive Security Virtual Appliance (ASAv) Firepower 2100 Series Security Appliance Firepower 4100 Series Security Appliance Firepower 9300 ASA Security Module FTD Virtual (FTDv)

Para quem estiver afetado, para já há apenas um workaround, não uma solução.

A mitigação pelo workaround consiste em desativar a inspeção do SIP, mas em muitos casos não é exequível dado poder interromper conexões SIP.

Para proceder à desabilitação desta inspeção, eis o que deves fazer:

No Cisco ASA:

policy-map global_policy class inspection_default no inspect sip

No Cisco FTD:

configure inspection sip disable

Outra opção é bloquear os hosts através de ACL's (Listas de Controlo de Acesso) ou a partir do comando shun em modo EXEC, só que aqui a partir deste comando, se o dispositivo é reiniciado, há que fazer isto outra vez. Caso se proceda à filtragem do tráfego também, configura-se um header "Sent-by-Address" para 0.0.0.0, que é associado a maus pacotes.

Por último, é limitar a taxa correspondente ao tráfego SIP através do MPF (Modular Policy Framework).

Vê mais informações aqui: https://www.cso.com.au/article/649039/cisco-hackers-attacking-asa-firepower-0-day-there-no-patch/

Advisory oficial da Cisco: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181031-asaftd-sip-dos