NSA 方程式被影子经纪人攻击事件泄露出来的漏洞还在发酵,涉及攻击思科防火墙的漏洞利用程序原来只能用于思科的旧版本防火墙,但经过简单修改后,就可以影响到最新的思科防火墙产品。
“ExtraBacon” 0Day 思科漏洞
ASA是用于防护企业、*网络和数据中心的一系列防火墙产品。影子经纪人缓存中包含一系列窃取自方程式组织(Equation Group)的“网络武器”。这些武器,原本仅影响思科自适应安全产品(ASA,即Adaptive Security Appliance)8.4.(4)及之前版本,思科和Fortinet已证实,影子经纪人缓存中列出的漏洞利用程序能影响其防火墙。
在之前的报告中,ExtraBacon利用了思科ASA软件SNMP代码中的一个零日漏洞0Day漏洞 (CVE-2016-6366),允许“未经认证的远程攻击者重载受影响系统”并完全控制防火墙。
ExtraBacon改进版威力更大
但匈牙利安全咨询公司SilentSignal的研究员成功修改了ExtraBacon代码,使其能够影响更新版本的思科ASA软件。之后,该漏洞利用程序的影响范围已经扩大到9.2.(4)版本。
这意味着,修改后的漏洞利用程序将会造成比之前更大的威胁。这是因为修改后的漏洞利用程序可以运行在思科防火墙的新版本中,允许攻击者远程执行恶意代码。
来自SilentSignal的Varga-Perke说:“我们有能简化调试过程的测试设备和定制固件镜像。恶意组织也极可能拥有这些东西。我们确信私人手中也有类似代码。”
思科工程师已经提供了临时措施,帮助ASA用户检测和阻止利用ExtraBacon发动的攻击。然而,这家市值数十亿美元的公司还需要发布更新包来完全解决此漏洞。
就像研究人员修改漏洞利用程序代码使其能攻击更新版本的思科产品,广大黑客也可以利用影子经纪人甩出来的攻击工具和漏洞利用程序来发动高级攻击。
NSA 方程式组织又有新消息
据说,方程式组织是一个黑客精英组织,与NSA富有进攻性的特定入侵行动队(Tailored Access Operations,TAO)有联系,还涉及臭名昭著的Regin和Stuxnet攻击。
之前的分析文章请看