回归最本质的信息安全

NSA泄露的黑客工具已被用于实战

2016年9月7日发布

2,256
0
0

导语:几周前,Shadow Brokers 黑客组织入侵了方程式组织泄露的NSA兵工厂,将其中大量exp公布在网上。

几周前,Shadow Brokers 黑客组织入侵了方程式组织泄露的NSA兵工厂,将其中大量exp公布在网上。

ExtraBacon是NSA兵工厂中的一个exp,今年八月,安全专家对其能力进行提升,可攻击最新版本的CISCO ASA应用程序。来自匈牙利的安全顾问SilentSignal把他的注意力放在了ExtraBacon漏洞利用程序上,证明了这一程序可以用来攻击新型的Cisco ASA。

这家安全公司已经证明,与NSA相关的Cisco漏洞利用程序中有ExtraBacon的身影,所以威胁程度就可想而知了。9.2.(4)及其以前版本的Cisco ASA均受影响。

ExtraBacon工具利用了 CVE-2016-6366漏洞来帮助入侵者获得整个Cisco ASA 防火墙的管理权限。ExtraBacon工具扩大了在简单网络管理协议(SNMP)中的漏洞危害。

 “在Cisco ASA软件的简单网络管理协议代码中存在一个漏洞,它可以允许远程未授权的攻击者来重新加载系统或者远程执行代码”。

漏洞产生的原因是受影响区域代码引起的缓存器溢出。这一漏洞影响了所有版本的SNMP。攻击者可以通过向受影响系统发送修改过的SNMP数据包来利用这个漏洞。该exp能够允许攻击者来运行任意目的的代码,并且来获得系统管理权限,或者重新加载该系统。

Cisco已经解决该问题

八月底, Cisco开始为ASA软件发布补丁包,以应对Extrabacon 漏洞利用程序的攻击。

管理CISCO ASA7.2,8.0,,8.1,8.2,8.3,8.4,8.5,8.6和8.7版本的网络管理员需立即把他们的软件升级到9.1.7(9)或者更高版本。在9.1,9.5和9.6版本中出现的安全问题已经随着9.1.7(9),9.5(3)和9.6.1(11)版本的发布而解决了。

不幸的是, 两名来自Rapid 7公司的安全专家 Derek Abdine和Bob Rudis 证实,从上次重启开始估计,数以万计的ASA 应用依然受到ExtraBacon的影响。

他们扫描了近50000台ASA 设备,发现这些设备都是曾被检查过的,并分析过重启时间。在38,000台ASA盒子中,差不多有10,000台设备在自Cisco发布补丁后的15天里重启过。有信息表明,差不多28,000台设备因没有更新软件而依然处在风险中。剩下的12,000台设备没有提供最近重启的信息。

深入分析之后,研究者们发现未上补丁的设备来源于4家美国大公司i,一家英国代理,一家金融服务机构和一家日本电信供应商。

这说明,如果你的设备符合下列条件,那就意味着你的Cisco ASA 盒子存在安全隐患:

1. ASA设备一定要有SNMP,并且攻击者可以通过UDP SNMP来访问这一设备并且知道SNMP社区口令
2. 攻击者必须能够远程登陆或者通过SSH来接入设备

其实,利用ExtraBacon进行攻击并不简单,不管怎么说,有耐心的攻击者还是能玩儿得转的。

通常来讲,ExtraBacon攻击通常发生在一个组织的局域网里。并且,这个网络一定要有SNMP并且风险设备能够被远程登陆。虽然这么说,但是ExtraBacon对于网络安全基础设施来讲还是个巨大的威胁。Cisco的补丁通常都是快速且安全的,所以对于大多数组织来讲,安装并测试新的补丁是个好的选择。

​本文翻译于securityaffairs,如若转载,请注明来源于嘶吼: http://www.4hou.com/technology/2176.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

Change

Change

嘶吼编辑

发私信

发表评论