信息來源:Freebuf
前一陣的NSA方程式組織被黑事件�,可能受影響最大的還不是美國政府,而是思科——因?yàn)檫@次事件中,公布了大量針對思科安全產(chǎn)品的漏洞利用工具���,思科不得不一個個去調(diào)查研究,確認(rèn)漏洞存在與否����,發(fā)布安全公告,著手漏洞修復(fù)�����。
我們已經(jīng)對其中的ExtraBacon利用工具�����,和涉及到的相關(guān)漏洞進(jìn)行了一波分析�����。在之前描述ExtraBacon的文章中�����,我們帶到過另一款漏洞利用工具��,即BenignCertain�����。這款工具專門針對思科的PIX防火墻家族產(chǎn)品�,此工具可用于解密VPN流量。
思科那個時候已經(jīng)發(fā)布了相應(yīng)的安全公告���,明確該工具影響到思科PIX版本5.2(9)-6.3(4)�,但不影響7.0及更新版本����。早在2009年的時候,PIX產(chǎn)品線就已經(jīng)不再更新了��,不過仍有大量企業(yè)和政府在廣泛使用此系列產(chǎn)品��。思科還在8月19日再度確認(rèn)�,BenignCertain利用工具不再涉及其它漏洞。
然而就在這兩天�����,思科再度發(fā)布了一份安全公告,明確編號為CVE-2016-6415漏洞的存在性——這也是BenignCertain工具利用的漏洞�����。
又一個漏洞被發(fā)現(xiàn)
CVE-2016-6415漏洞影響到IOS�����、IOS XE和IOS XR軟件:具體影響到IOS XR版本4.3.x��、5.0.x����、5.1.x和5.2.x(5.3.0及更新版本不受影響),所有IOS XE����,以及數(shù)個IOS版本,詳情可見思科的安全公告����。
CVE-2016-6415漏洞存在于IKEv1包處理代碼中,利用該漏洞可致遠(yuǎn)程�����、未認(rèn)證的攻擊者獲取存儲內(nèi)容(memory contents)����。思科的安全公告中提到:
“該漏洞是由處理IKEv1安全會話請求的部分代碼條件檢查不足所致。要利用該漏洞���,攻擊者可構(gòu)造IKEv1包�,并發(fā)送至受影響設(shè)備(且配置為接收IKEv1安全協(xié)商請求)�����?!?
據(jù)說已經(jīng)有黑客開始利用該漏洞針對思科的部分客戶發(fā)動攻擊,思科方面雖然已經(jīng)在安全公告中發(fā)布了IOC���,但尚未發(fā)布安全補(bǔ)丁���。不過思科針對IPS發(fā)布了檢測簽名,可用于對網(wǎng)絡(luò)進(jìn)行保護(hù)����。
此外思科還發(fā)布了一款在線工具,用戶以此可了解產(chǎn)品是否受到此漏洞的影響。
84萬思科系統(tǒng)受到影響
為了了解這個漏洞的影響范圍��,專門追蹤網(wǎng)絡(luò)犯罪���、協(xié)助僵尸網(wǎng)絡(luò)調(diào)查的組織Shadowserver Foundation針對ISAKMP(Internet安全聯(lián)盟密鑰管理協(xié)議)進(jìn)行了一次全球型的互聯(lián)網(wǎng)掃描����。最近一次掃描是在昨天進(jìn)行的�����,持續(xù)了大約兩個半小時�����。
“本次掃描是為了尋找那些IKEv1包處理代碼中存在漏洞的設(shè)備���,該漏洞可致為認(rèn)證的遠(yuǎn)程攻擊者獲取存儲內(nèi)容���,最終導(dǎo)致機(jī)密信息泄露…”
“這個項(xiàng)目的目標(biāo)就是要找出存在漏洞的系統(tǒng),并向相應(yīng)的網(wǎng)絡(luò)管理員發(fā)出報(bào)告�,做出補(bǔ)救。這些存在漏洞的設(shè)備已經(jīng)融合到我們的報(bào)告中���,并正在進(jìn)行每日更新�����?!?
按照Shadowserver Foundation所說�,這次掃描和調(diào)查是在思科的鼎力協(xié)助下進(jìn)行的,采用特別構(gòu)造的64字節(jié)ISAKMP包收集來自被檢測設(shè)備的響應(yīng)����。原本包的尺寸達(dá)到了2600字節(jié),思科幫忙將包大小減少到了64字節(jié)�����,詳情可查看這份報(bào)告:《ISAKMP掃描與潛在漏洞》���。
掃描結(jié)果顯示�,存在CVE-2016-6415漏洞的設(shè)備相關(guān)獨(dú)立IP超過84萬個�����。全球范圍內(nèi)�����,若以國家來區(qū)分,那么漏洞存在數(shù)量的大致情況如上圖所示��。美國受到的影響當(dāng)然是最大的�,是排在第二的俄羅斯的6倍,中國恰好排在第10的位置���。
另外本次檢測也分析了AS號(自治系統(tǒng)號碼)����,大致情況如上圖所示�,排在前兩位的是Comcast和AT&T的網(wǎng)絡(luò)IP,中國電信也榜上有名�。
思科已經(jīng)在敦促受到影響的用戶,通過IPS/IDS解決方案來保護(hù)存在漏洞的產(chǎn)品�。我們在稍后的文章中,還會對BenignCertain利用工具和CVE-2016-6415漏洞進(jìn)行更為詳細(xì)的分析��。
