NSA方程式组织被“影子经纪人”攻击后泄露出来的漏洞利用程序余威犹在,思科在进一步分析这些受影响产品后,发现了另一个零日漏洞0day漏洞并将该信息通报给了客户。该漏洞在CVE库中的ID为CVE-2016-6366,允许远程攻击者重载系统或执行任意代码。针对这个漏洞,思科为多数ASA软件主要版本提供了相关补丁。
CVE-2016-6366漏洞
CVE网站上对这个漏洞描述如下:
思科自适应安全设备 (ASA) 软件中的缓冲区溢出漏洞,使得远程验证的用户通过精心编制的 IPv4 SNMP 数据包,执行任意代码aka Bug ID CSCva92151 或 EXTRABACON 。
受影响产品包括:9.4.2.3 on ASA 5500, ASA 5500-X, ASA Services Module, ASA 1000V, ASAv, Firepower 9300 ASA Security Module, PIX, and FWSM devices
之前涉及思科产品的漏洞
八月中旬,影子经纪人声称从威胁源起方“方程式组织”(该组织据信与美国国家安全局有牵连)窃取了防火墙利用程序、植入程序与工具,并公布了其中约300M的数据。主流防火墙厂商分析了该数据泄露事件,思科发现其中一款名为“EXTRABACON”的利用程序利用某零日漏洞对ASA软件的SNMP代码造成威胁。
影子经纪人公布的另一款漏洞利用程序叫“BENIGNCERTAIN”,针对的是PIX防火墙(思科自2009年开始停止对该系列产品提供支持)。在分析了这款程序后,思科断定PIX 7.0及之后产品不受影响。8月19日,思科明确表示在现有产品中没有发现与此程序相关的新漏洞。
进一步分析该程序后,思科发现BENIGNCERTAIN所利用的漏洞还会影响搭载IOS、IOS XE及IOS XR软件的产品。
这个CVE-2016-6415安全漏洞存在于IKEv1报文处理代码中,允许未认证远程攻击者获取内存中的敏感信息。
“漏洞源于未充分检查用于处理IKEv1安全协商请求的代码。受影响设备若被配置接受IKEv1安全协商请求,攻击者则可通过向此设备发送构造的IKEv1报文来利用该漏洞。”思科在其安全公告中如是说。
漏洞影响的产品包括思科IOS XR 4.3.x、5.0.x、5.1.x及5.2.x,而5.3.0及以后版本不受影响;IOS XE所有版本及IOS各版本均受影响。
该网络产品巨头确认,PIX防火墙及运行受漏洞影响版本的IOS、IOS XE及IOS XR的所有产品在被配置使用IKEv1后,都会受到漏洞影响。公司目前还在确认是否有其他产品受到影响。
思科表示,已发现某些客户在使用受影响平台时遭到攻击。
思科承诺会针对CVE-2016-6415漏洞发布补丁,但目前还没有提供规避措施。公司已公布攻击指示器(IoC),并建议客户使用IPS及IDS方案防护攻击。
思科声称:“只有当设备被配置处理IKEv1流量时,该漏洞才能被利用,转发的IKEv1流量不会触发该漏洞。此外,IKEv2不受影响。通过伪造报文利用该漏洞受以下条件限制:攻击者需能收到或获得漏洞设备的初始响应。”
方程式及影子经纪人近期相关文章包括
NSA黑客团队方程式组织(Equation Group) 泄露资料分析 涉及思科、飞塔及天融信防火墙漏洞
原文发布时间:2017年3月24日
本文由:csoonline 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/cisco-new-0day-vulnerability-extrabacon
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站