NSA泄露的黑客工具已被用于实战

几周前，Shadow Brokers 黑客组织入侵了方程式组织泄露的NSA兵工厂，将其中大量exp公布在网上。

ExtraBacon是NSA兵工厂中的一个exp，今年八月，安全专家对其能力进行提升，可攻击最新版本的CISCO ASA应用程序。来自匈牙利的安全顾问SilentSignal把他的注意力放在了ExtraBacon漏洞利用程序上，证明了这一程序可以用来攻击新型的Cisco ASA。

这家安全公司已经证明，与NSA相关的Cisco漏洞利用程序中有ExtraBacon的身影，所以威胁程度就可想而知了。9.2.(4)及其以前版本的Cisco ASA均受影响。

ExtraBacon工具利用了 CVE-2016-6366漏洞来帮助入侵者获得整个Cisco ASA 防火墙的管理权限。ExtraBacon工具扩大了在简单网络管理协议（SNMP）中的漏洞危害。

 “在Cisco ASA软件的简单网络管理协议代码中存在一个漏洞，它可以允许远程未授权的攻击者来重新加载系统或者远程执行代码”。

漏洞产生的原因是受影响区域代码引起的缓存器溢出。这一漏洞影响了所有版本的SNMP。攻击者可以通过向受影响系统发送修改过的SNMP数据包来利用这个漏洞。该exp能够允许攻击者来运行任意目的的代码，并且来获得系统管理权限，或者重新加载该系统。

Cisco已经解决该问题

八月底， Cisco开始为ASA软件发布补丁包，以应对Extrabacon 漏洞利用程序的攻击。

管理CISCO ASA7.2,8.0,,8.1,8.2,8.3,8.4,8.5,8.6和8.7版本的网络管理员需立即把他们的软件升级到9.1.7(9)或者更高版本。在9.1,9.5和9.6版本中出现的安全问题已经随着9.1.7(9),9.5(3)和9.6.1(11)版本的发布而解决了。

不幸的是， 两名来自Rapid 7公司的安全专家 Derek Abdine和Bob Rudis 证实，从上次重启开始估计，数以万计的ASA 应用依然受到ExtraBacon的影响。

他们扫描了近50000台ASA 设备，发现这些设备都是曾被检查过的，并分析过重启时间。在38，000台ASA盒子中，差不多有10，000台设备在自Cisco发布补丁后的15天里重启过。有信息表明，差不多28，000台设备因没有更新软件而依然处在风险中。剩下的12，000台设备没有提供最近重启的信息。

深入分析之后，研究者们发现未上补丁的设备来源于4家美国大公司i，一家英国代理，一家金融服务机构和一家日本电信供应商。

这说明，如果你的设备符合下列条件，那就意味着你的Cisco ASA 盒子存在安全隐患：

1. ASA设备一定要有SNMP，并且攻击者可以通过UDP SNMP来访问这一设备并且知道SNMP社区口令
2. 攻击者必须能够远程登陆或者通过SSH来接入设备

其实，利用ExtraBacon进行攻击并不简单，不管怎么说，有耐心的攻击者还是能玩儿得转的。

通常来讲，ExtraBacon攻击通常发生在一个组织的局域网里。并且，这个网络一定要有SNMP并且风险设备能够被远程登陆。虽然这么说，但是ExtraBacon对于网络安全基础设施来讲还是个巨大的威胁。Cisco的补丁通常都是快速且安全的，所以对于大多数组织来讲，安装并测试新的补丁是个好的选择。