思科产品再现0Day漏洞CVE-2016-6366 他们用“影子经纪人”泄露的程序 自己发现了EXTRABACON

NSA方程式组织被“影子经纪人”攻击后泄露出来的漏洞利用程序余威犹在,思科在进一步分析这些受影响产品后,发现了另一个零日漏洞0day漏洞并将该信息通报给了客户。该漏洞在CVE库中的ID为CVE-2016-6366,允许远程攻击者重载系统或执行任意代码。针对这个漏洞,思科为多数ASA软件主要版本提供了相关补丁。

CVE-2016-6366漏洞

CVE网站上对这个漏洞描述如下:

思科自适应安全设备 (ASA) 软件中的缓冲区溢出漏洞,使得远程验证的用户通过精心编制的 IPv4 SNMP 数据包,执行任意代码aka Bug ID CSCva92151 或 EXTRABACON 。

受影响产品包括:9.4.2.3 on ASA 5500, ASA 5500-X, ASA Services Module, ASA 1000V, ASAv, Firepower 9300 ASA Security Module, PIX, and FWSM devices

之前涉及思科产品的漏洞

八月中旬,影子经纪人声称从威胁源起方“方程式组织”(该组织据信与美国国家安全局有牵连)窃取了防火墙利用程序、植入程序与工具,并公布了其中约300M的数据。主流防火墙厂商分析了该数据泄露事件,思科发现其中一款名为“EXTRABACON”的利用程序利用某零日漏洞对ASA软件的SNMP代码造成威胁。

影子经纪人公布的另一款漏洞利用程序叫“BENIGNCERTAIN”,针对的是PIX防火墙(思科自2009年开始停止对该系列产品提供支持)。在分析了这款程序后,思科断定PIX 7.0及之后产品不受影响。8月19日,思科明确表示在现有产品中没有发现与此程序相关的新漏洞。

进一步分析该程序后,思科发现BENIGNCERTAIN所利用的漏洞还会影响搭载IOS、IOS XE及IOS XR软件的产品。

这个CVE-2016-6415安全漏洞存在于IKEv1报文处理代码中,允许未认证远程攻击者获取内存中的敏感信息。

“漏洞源于未充分检查用于处理IKEv1安全协商请求的代码。受影响设备若被配置接受IKEv1安全协商请求,攻击者则可通过向此设备发送构造的IKEv1报文来利用该漏洞。”思科在其安全公告中如是说。

漏洞影响的产品包括思科IOS XR 4.3.x、5.0.x、5.1.x及5.2.x,而5.3.0及以后版本不受影响;IOS XE所有版本及IOS各版本均受影响。

该网络产品巨头确认,PIX防火墙及运行受漏洞影响版本的IOS、IOS XE及IOS XR的所有产品在被配置使用IKEv1后,都会受到漏洞影响。公司目前还在确认是否有其他产品受到影响。

思科表示,已发现某些客户在使用受影响平台时遭到攻击。

思科承诺会针对CVE-2016-6415漏洞发布补丁,但目前还没有提供规避措施。公司已公布攻击指示器(IoC),并建议客户使用IPS及IDS方案防护攻击。

思科声称:“只有当设备被配置处理IKEv1流量时,该漏洞才能被利用,转发的IKEv1流量不会触发该漏洞。此外,IKEv2不受影响。通过伪造报文利用该漏洞受以下条件限制:攻击者需能收到或获得漏洞设备的初始响应。”

方程式及影子经纪人近期相关文章包括

NSA的黑客团队被黑了 泄露的工具及数据叫价5.68亿美金

NSA黑客团队方程式组织(Equation Group) 泄露资料分析 涉及思科、飞塔及天融信防火墙漏洞

美国国家安全局 方程式组织 影子经纪人 他们到底在玩什么

方程式组织的漏洞程序稍作修改 就可以攻击最新的思科防火墙



原文发布时间:2017年3月24日

本文由:csoonline 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/cisco-new-0day-vulnerability-extrabacon

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

上一篇:eclipse出现箭头之类的特殊字符


下一篇:ImageMagick被爆存在零日漏洞 或导致重要信息被窃取