CISCO 零日漏洞 CVE-2016-6415,由NSA方程组泄露档案中探得
来源:互联网 发布:淘宝联盟返利靠谱吗 编辑:程序博客网 时间:2024/05/17 23:10
思科(CISCO)揭示了一个新的0day漏洞——CVE-2016-6415,由影子经纪人盗取NSA方程式小组的档案中发现。
今年8月,一组叫做影子经纪人的黑客入侵了NSA(国家安全局)的御用黑客方程组组织,一时间闹得沸沸扬扬,并泄露了大约300兆的私密信息和黑客工具。
2015年二月卡巴斯基的安全研究人员揭示了方程式小组的确存在。他们被指是归属于国家的网络行动者,自2001年以来一直运作富有专业性的0day漏洞,将利用触角伸到这个国家的几乎所有行业。
根据卡巴斯基实验室的一份报告,方程组将能复杂的战术、技术和程序结相互结合,他们可能与Stuxnet以及Flame背后的运营商有所互动。基于几年来收集的各种网络间谍活动的元素,专家推测,NSA(国家安全局)可能与方程组有亲密关系。
影子经纪人的档案泄露到网上后,大型厂商如思科、Juniper、Fortinet公司都对其进行了分析,以找到方程组对他们的漏洞利用并趁早修复。
可入侵Cisco ASA 的工具:Extrabacon
举个例子,思科在阿森纳(arsenal)发现一个叫做Extrabacon的工具,能够入侵Cisco ASA防火墙。Extrabacon工具利用CVE-2016-6366(https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1)漏洞,允许获得目标网络的据点来完全控制此刻的ASA防火墙。Extrabacon工具通过ASA软件,利用存在于简单网络管理协议(SNMP)的漏洞实现其攻击。
思科官方表示:“思科Cisco的自适应安全设备代码(ASA)软件含有简单网络管理协议(SNMP),它的漏洞可以让一个真实的、远程的攻击者对被影响系统进行重装或远程执行代码。“八月底思科开始发布ASA软件的补丁,以解决方程组的Extrabacon漏洞工具,包括其在网上泄露NSA的数据转储。
漏洞CVE-2016-6415,Benigncertain提取VPN密码
对泄露材料的分析也揭示了一个新漏洞,叫做Benigncertain,它允许从特定的思科设备提取VPN密码。
专家Mustafa Al Bassam,分析了数据转储,他将思科产品PIX受到的攻击命名为“PixPocket”。思科 PIX系列产品早在2009年就被宣布停产,但它已被机关单位和企业广泛采用。
据专家介绍,该工具对Cisco PIX 5.2(9)到6.3(4)版本都可用。而漏洞不影响PIX 7及以上的版本,这家IT巨头在8月19日确认这些新版本不会受到Benigncertain漏洞影响。
不幸的是,进一步的分析表明,BENIGNCERTAIN漏洞——CVE-2016-6415,也影响IOS XE和IOS XR软件中运行的产品。CVE-2016-6415属于IKEv1包处理代码。远程的、未经身份验证的攻击者可以利用它找回记忆内容。
“该漏洞的原理是代码的不满足条件检查处理的部分,控制了IKEv1安全协商请求。攻击者可以发送特制的IKEv1包给配置为接受IKEv1安全协商请求的目标设备,以利用此漏洞。”
影响版本——配置IKEv1的IOS XE和XR设备
该漏洞影响到Cisco IOS XR 4.3X、5.0X,5.1X和5.2 X版本,5.3.0及后来的版本受影响。所有的IOS XE版本和各个版本的iOS都受影响。思科证实所有的防火墙属于PIX产品家族,且所有产品运行都影响到IOS、IOS XE 和IOS XR,只要它们的配置是使用IKEv1 。
CVE-2016-6415 Cisco IOS XR
等待着CVE-2016-6415发布补丁,思科当前发表了IOC(控制反转,一个重要的面向对象编程的法则,也是轻量级的Spring框架的核心),并督促客户使用IPS和IDS解决方案保护易受攻击的产品。
思科表示:“此漏洞只能由指定配置IKEv1的设备利用。传输IKEv1 t并不会触发此漏洞。可以利用此漏洞的数据包是有限的,攻击者需要接收或能访问相应设备的初始响应。”
本文由漏洞银行(BUGBANK.cn)小编 柠檬 翻译,源文译自 securityaffairs.co。
作者:柠檬
链接:http://www.bugbank.cn/news/detail/57e0f61d0449d9ca557429c7.html
来源:漏洞银行
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
- CISCO 零日漏洞 CVE-2016-6415,由NSA方程组泄露档案中探得
- CISCO 零日漏洞 CVE-2016-6415,由NSA方程组泄露档案中探得
- Vuln - Cisco - CVE-2016-6366
- Vuln - Cisco - CVE-2016-6415 - IKE Information Disclosure
- 9 月 19 日,腾讯云安全中心监测到 Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615
- mysql CVE-2016-6662漏洞
- CVE-2016-1503 漏洞分析
- CVE-2011-4691 Google Chrome IFRAME装载信息泄露漏洞
- ZooKeeper信息泄露漏洞(CVE-2014-085)
- NSA方程式组织(Equation Group)泄露的天融信产品漏洞分析(一) 利用方式
- OpenSSH客户端漏洞:CVE-2016-0777和CVE-2016-0778
- [安全漏洞公告专区]【漏洞公告】CVE-2017-9798:“Optionsbleed”-Apache HTTP OPTIONS方法内存泄露漏洞
- IE 零日漏洞风险评估
- IE零日(0Dday)漏洞
- 微软迅速修复零日IE漏洞
- tomcat 漏洞 CVE-2016-1240 分析报告
- ActiveMQ漏洞( CVE-2016-3088) 验证
- Web安全 -- CVE-2016-10033漏洞
- 浅析Java中的final关键字
- Linux中find详解
- [Perl] 内置常量$&, $`,$'这三个的用法
- 第三周项目1-顺序表的基本运算
- 耗时widget
- CISCO 零日漏洞 CVE-2016-6415,由NSA方程组泄露档案中探得
- vim 技巧备忘
- KVC和KVO
- 异常总结
- 数据结构之树与二叉树
- 完美解决C#Webbrowser控件设置Cookie问题
- 第四周项目1-建立单链表
- C#入门经典第6版学习 十三
- iOS如何获取iOS应用中所有图片资源