回归最本质的信息安全

思科发现新型0day漏洞,与NSA黑客有关?

2016年9月21日发布

3,704
0
0

导语:近日,网络设备制造商思科(CISCO)公布了一个新型0day(零日)漏洞,由自称“影子经纪人”的黑客团体在盗取NSA方程式小组的档案中发现。

近日,网络设备制造商思科(CISCO)公布了一个新型0day(零日)漏洞,由自称“影子经纪人(The Shadow Brokers)”的黑客团体在盗取NSA方程式小组的档案中发现。

上个月(8月),一个自称“影子经纪人”的黑客组织入侵了NSA(国家安全局)的御用黑客组织——方程式组织,并从该黑客组织的计算机系统中获取到的大部分的防火墙漏洞、植入程序以及一些针对美国路由器和防火墙等网络设备制造商(例如Cisco,Juniper和Fortinet)的黑客工具等。

黑客工具“Extrabacon”的工具利用CVE-2016-6366漏洞,允许获得目标网络的据点来完全控制此刻的ASA防火墙。Extrabacon工具通过ASA软件,利用存在于简单网络管理协议(SNMP)的漏洞实现其攻击。

思科官方表示:“思科Cisco的自适应安全设备代码(ASA)软件含有简单网络管理协议(SNMP),它的漏洞可以让一个真实的、远程的攻击者对被影响系统进行重装或远程执行代码。“八月底思科开始发布ASA软件的补丁,以解决方程组的Extrabacon漏洞工具,包括其在网上泄露NSA的数据转储。

思科发现一个名为Benigncertain的0day漏洞

目前,思科又发现了另一个新型零日漏洞,叫做“Benigncertain”,它允许从特定的思科设备提取VPN密码,主要攻击目标为PIX防火墙。

通过分析该漏洞,思科指出该工具对Cisco PIX 5.2(9)到6.3(4)版本都可用。而漏洞不影响PIX 7及以上的版本,思科在8月19日确认这些新版本不会受到Benigncertain漏洞影响。

但是,进一步分析表明,“Benigncertain”也影响IOS XE和IOS XR软件中运行的产品。“Benigncertain”利用的CVE-2016-6415漏洞属于IKEv1包处理代码,会对一些运行IOS操作系统的设备和所有的思科PIX防火墙造成影响。

因特网密匙交换(Internet Key Exchange,IKE)是用于保证虚拟专用网络(VPN)协商、远程主机或网络接入安全的一项网络安全协议(IPsec)。远程的、未经身份验证的攻击者可以利用该漏洞,通过发送特制的IKEv1包到受影响的设备,实现从流量和公开的重要信息(如RSA私钥和配置信息)中找回记忆内容的目的。

思科安全顾问表示:

该漏洞的原理是部分不满足检查条件的代码控制了IKEv1安全协商请求。攻击者可以发送特制的IKEv1包给配置为接受IKEv1安全协商请求的目标设备,以此利用该漏洞。

思科众多版本均受影响

该漏洞影响到Cisco IOS XR 4.3X、5.0X,5.1X和5.2 X版本,5.3.0及后来的版本受影响。所有的IOS XE版本和各个版本的iOS都受影响。思科证实所有的防火墙属于PIX产品家族,但是,思科称PIX系列产品早在2009年就已经宣布停产。此外,所有配置IKEv1的IOS、IOS XE 和IOS XR产品的运行都会受到影响。

思科暂未发布任何应对该漏洞的补丁,也没有任何可用的解决方案。

该公司表示,此漏洞只能由指定配置IKEv1的设备利用。传输IKEv1 t并不会触发此漏洞,可以利用此漏洞的数据包是有限的,攻击者需要接收或能访问相应设备的初始响应。建议客户使用IPS和IDS解决方案保护易受攻击的产品。

思科承诺会发布针对该零日漏洞的软件更新补丁,但是具体发布时间未定。

​本文翻译于thehackernews,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/news/1952.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

兮又米

兮又米

嘶吼编辑

发私信

发表评论