?

Sep 21 2016

思科產品再現0Day漏洞CVE-2016-6366 他們用“影子經紀人”泄露的程序 自己發現了EXTRABACON

首頁 » 業界見聞 » 思科產品再現0Day漏洞CVE-2016-6366 他們用“影子經紀人”泄露的程序 自己發現了EXTRABACON   

NSA方程式組織被“影子經紀人”攻擊后泄露出來的漏洞利用程序余威猶在,思科在進一步分析這些受影響產品后,發現了另一個零日漏洞0day漏洞并將該信息通報給了客戶。該漏洞在CVE庫中的ID為CVE-2016-6366,允許遠程攻擊者重載系統或執行任意代碼。針對這個漏洞,思科為多數ASA軟件主要版本提供了相關補丁。

CVE-2016-6366漏洞

CVE網站上對這個漏洞描述如下:

思科自適應安全設備 (ASA) 軟件中的緩沖區溢出漏洞,使得遠程驗證的用戶通過精心編制的 IPv4 SNMP 數據包,執行任意代碼aka Bug ID CSCva92151 或 EXTRABACON 。

受影響產品包括:9.4.2.3 on ASA 5500, ASA 5500-X, ASA Services Module, ASA 1000V, ASAv, Firepower 9300 ASA Security Module, PIX, and FWSM devices

之前涉及思科產品的漏洞

八月中旬,影子經紀人聲稱從威脅源起方“方程式組織”(該組織據信與美國國家安全局有牽連)竊取了防火墻利用程序、植入程序與工具,并公布了其中約300M的數據。主流防火墻廠商分析了該數據泄露事件,思科發現其中一款名為“EXTRABACON”的利用程序利用某零日漏洞對ASA軟件的SNMP代碼造成威脅。

影子經紀人公布的另一款漏洞利用程序叫“BENIGNCERTAIN”,針對的是PIX防火墻(思科自2009年開始停止對該系列產品提供支持)。在分析了這款程序后,思科斷定PIX 7.0及之后產品不受影響。8月19日,思科明確表示在現有產品中沒有發現與此程序相關的新漏洞。

進一步分析該程序后,思科發現BENIGNCERTAIN所利用的漏洞還會影響搭載IOS、IOS XE及IOS XR軟件的產品。

這個CVE-2016-6415安全漏洞存在于IKEv1報文處理代碼中,允許未認證遠程攻擊者獲取內存中的敏感信息。

“漏洞源于未充分檢查用于處理IKEv1安全協商請求的代碼。受影響設備若被配置接受IKEv1安全協商請求,攻擊者則可通過向此設備發送構造的IKEv1報文來利用該漏洞。”思科在其安全公告中如是說。

漏洞影響的產品包括思科IOS XR 4.3.x、5.0.x、5.1.x及5.2.x,而5.3.0及以后版本不受影響;IOS XE所有版本及IOS各版本均受影響。

該網絡產品巨頭確認,PIX防火墻及運行受漏洞影響版本的IOS、IOS XE及IOS XR的所有產品在被配置使用IKEv1后,都會受到漏洞影響。公司目前還在確認是否有其他產品受到影響。

思科表示,已發現某些客戶在使用受影響平臺時遭到攻擊。

思科承諾會針對CVE-2016-6415漏洞發布補丁,但目前還沒有提供規避措施。公司已公布攻擊指示器(IoC),并建議客戶使用IPS及IDS方案防護攻擊。

思科聲稱:“只有當設備被配置處理IKEv1流量時,該漏洞才能被利用,轉發的IKEv1流量不會觸發該漏洞。此外,IKEv2不受影響。通過偽造報文利用該漏洞受以下條件限制:攻擊者需能收到或獲得漏洞設備的初始響應。”

方程式及影子經紀人近期相關文章包括

NSA的黑客團隊被黑了 泄露的工具及數據叫價5.68億美金

NSA黑客團隊方程式組織(Equation Group) 泄露資料分析 涉及思科、飛塔及天融信防火墻漏洞

美國國家安全局 方程式組織 影子經紀人 他們到底在玩什么

方程式組織的漏洞程序稍作修改 就可以攻擊最新的思科防火墻

本文由:csoonline 發布,版權歸屬于原作者。
如果轉載,請注明出處及本文鏈接:
http://toutiao.secjia.com/cisco-new-0day-vulnerability-extrabacon
如果此文章侵權,請留言,我們進行刪除。

如果您喜歡本博客,歡迎點擊圖片定訂閱到郵箱填寫您的郵件地址,訂閱我們的精彩內容:

正文部分到此結束

文章標簽:這篇文章木有標簽

版權聲明:若無特殊注明,本文皆為( mOon )原創,轉載請保留文章出處。

也許喜歡: « 漏洞檢測工具用語說明 | 俄黑客組織再爆第三批資料»

你腫么看?

你還可以輸入 250/250 個字

? 微笑 大笑 拽 大哭 親親 流汗 噴血 奸笑 囧 不爽 暈 示愛 害羞 吃驚 驚嘆 愛你 嚇死了 呵呵

評論信息框

這篇文章還沒有收到評論,趕緊來搶沙發吧~

?
?
河北11选5开奖