安全動(dòng)態(tài)

方程式再曝0day漏洞:超84萬(wàn)思科設(shè)備受影響

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2016-09-24    瀏覽次數(shù):
 

信息來(lái)源:Freebuf

前一陣的NSA方程式組織被黑事件,可能受影響最大的還不是美國(guó)政府,而是思科——因?yàn)檫@次事件中,公布了大量針對(duì)思科安全產(chǎn)品的漏洞利用工具,思科不得不一個(gè)個(gè)去調(diào)查研究,確認(rèn)漏洞存在與否,發(fā)布安全公告,著手漏洞修復(fù)。

我們已經(jīng)對(duì)其中的ExtraBacon利用工具,和涉及到的相關(guān)漏洞進(jìn)行了一波分析。在之前描述ExtraBacon的文章中,我們帶到過(guò)另一款漏洞利用工具,即BenignCertain。這款工具專門針對(duì)思科的PIX防火墻家族產(chǎn)品,此工具可用于解密VPN流量。

思科那個(gè)時(shí)候已經(jīng)發(fā)布了相應(yīng)的安全公告,明確該工具影響到思科PIX版本5.2(9)-6.3(4),但不影響7.0及更新版本。早在2009年的時(shí)候,PIX產(chǎn)品線就已經(jīng)不再更新了,不過(guò)仍有大量企業(yè)和政府在廣泛使用此系列產(chǎn)品。思科還在8月19日再度確認(rèn),BenignCertain利用工具不再涉及其它漏洞。

然而就在這兩天,思科再度發(fā)布了一份安全公告,明確編號(hào)為CVE-2016-6415漏洞的存在性——這也是BenignCertain工具利用的漏洞。

Cisco-IOS-XR.png

又一個(gè)漏洞被發(fā)現(xiàn)

CVE-2016-6415漏洞影響到IOS、IOS XE和IOS XR軟件:具體影響到IOS XR版本4.3.x、5.0.x、5.1.x和5.2.x(5.3.0及更新版本不受影響),所有IOS XE,以及數(shù)個(gè)IOS版本,詳情可見(jiàn)思科的安全公告。

CVE-2016-6415漏洞存在于IKEv1包處理代碼中,利用該漏洞可致遠(yuǎn)程、未認(rèn)證的攻擊者獲取存儲(chǔ)內(nèi)容(memory contents)。思科的安全公告中提到:

“該漏洞是由處理IKEv1安全會(huì)話請(qǐng)求的部分代碼條件檢查不足所致。要利用該漏洞,攻擊者可構(gòu)造IKEv1包,并發(fā)送至受影響設(shè)備(且配置為接收IKEv1安全協(xié)商請(qǐng)求)?!?

據(jù)說(shuō)已經(jīng)有黑客開(kāi)始利用該漏洞針對(duì)思科的部分客戶發(fā)動(dòng)攻擊,思科方面雖然已經(jīng)在安全公告中發(fā)布了IOC,但尚未發(fā)布安全補(bǔ)丁。不過(guò)思科針對(duì)IPS發(fā)布了檢測(cè)簽名,可用于對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù)。

此外思科還發(fā)布了一款在線工具,用戶以此可了解產(chǎn)品是否受到此漏洞的影響。

84萬(wàn)思科系統(tǒng)受到影響

為了了解這個(gè)漏洞的影響范圍,專門追蹤網(wǎng)絡(luò)犯罪、協(xié)助僵尸網(wǎng)絡(luò)調(diào)查的組織Shadowserver Foundation針對(duì)ISAKMP(Internet安全聯(lián)盟密鑰管理協(xié)議)進(jìn)行了一次全球型的互聯(lián)網(wǎng)掃描。最近一次掃描是在昨天進(jìn)行的,持續(xù)了大約兩個(gè)半小時(shí)。

CVE-2016-6415-scan.jpg

“本次掃描是為了尋找那些IKEv1包處理代碼中存在漏洞的設(shè)備,該漏洞可致為認(rèn)證的遠(yuǎn)程攻擊者獲取存儲(chǔ)內(nèi)容,最終導(dǎo)致機(jī)密信息泄露…”

“這個(gè)項(xiàng)目的目標(biāo)就是要找出存在漏洞的系統(tǒng),并向相應(yīng)的網(wǎng)絡(luò)管理員發(fā)出報(bào)告,做出補(bǔ)救。這些存在漏洞的設(shè)備已經(jīng)融合到我們的報(bào)告中,并正在進(jìn)行每日更新?!?

按照Shadowserver Foundation所說(shuō),這次掃描和調(diào)查是在思科的鼎力協(xié)助下進(jìn)行的,采用特別構(gòu)造的64字節(jié)ISAKMP包收集來(lái)自被檢測(cè)設(shè)備的響應(yīng)。原本包的尺寸達(dá)到了2600字節(jié),思科幫忙將包大小減少到了64字節(jié),詳情可查看這份報(bào)告:《ISAKMP掃描與潛在漏洞》。

6777DCD5-8504-4A70-8EAA-093503220660.png

掃描結(jié)果顯示,存在CVE-2016-6415漏洞的設(shè)備相關(guān)獨(dú)立IP超過(guò)84萬(wàn)個(gè)。全球范圍內(nèi),若以國(guó)家來(lái)區(qū)分,那么漏洞存在數(shù)量的大致情況如上圖所示。美國(guó)受到的影響當(dāng)然是最大的,是排在第二的俄羅斯的6倍,中國(guó)恰好排在第10的位置。

6CFC9191-C785-4FE1-A9CF-829433106887.png

另外本次檢測(cè)也分析了AS號(hào)(自治系統(tǒng)號(hào)碼),大致情況如上圖所示,排在前兩位的是Comcast和AT&T的網(wǎng)絡(luò)IP,中國(guó)電信也榜上有名。

思科已經(jīng)在敦促受到影響的用戶,通過(guò)IPS/IDS解決方案來(lái)保護(hù)存在漏洞的產(chǎn)品。我們?cè)谏院蟮奈恼轮校€會(huì)對(duì)BenignCertain利用工具和CVE-2016-6415漏洞進(jìn)行更為詳細(xì)的分析。

 
 

上一篇:聚銘網(wǎng)絡(luò)亮相中國(guó)(南京)軟件谷“精鷹歸谷”大型校園招聘會(huì)

下一篇:開(kāi)放無(wú)線,分享無(wú)限——銳捷Wi-Fi助力2016騰訊全球合作伙伴萬(wàn)人大會(huì)