思科發現新型0day漏洞，與NSA黑客有關？

近日，網路設備製造商思科（CISCO）公布了一個新型0day（零日）漏洞，由自稱「影子經紀人（The Shadow Brokers）」的黑客團體在盜取NSA方程式小組的檔案中發現。

上個月（8月），一個自稱「影子經紀人」的黑客組織入侵了NSA（國家安全局）的御用黑客組織——方程式組織，並從該黑客組織的計算機系統中獲取到的大部分的防火牆漏洞、植入程序以及一些針對美國路由器和防火牆等網路設備製造商（例如Cisco，Juniper和Fortinet）的黑客工具等。

黑客工具「Extrabacon」的工具利用CVE-2016-6366漏洞，允許獲得目標網路的據點來完全控制此刻的ASA防火牆。Extrabacon工具通過ASA軟體，利用存在於簡單網路管理協議（SNMP）的漏洞實現其攻擊。

思科官方表示：「思科Cisco的自適應安全設備代碼（ASA）軟體含有簡單網路管理協議（SNMP），它的漏洞可以讓一個真實的、遠程的攻擊者對被影響系統進行重裝或遠程執行代碼。「八月底思科開始發布ASA軟體的補丁，以解決方程組的Extrabacon漏洞工具，包括其在網上泄露NSA的數據轉儲。

目前，思科又發現了另一個新型零日漏洞，叫做「Benigncertain」，它允許從特定的思科設備提取VPN密碼，主要攻擊目標為PIX防火牆。

通過分析該漏洞，思科指出該工具對Cisco PIX 5.2（9）到6.3（4）版本都可用。而漏洞不影響PIX 7及以上的版本，思科在8月19日確認這些新版本不會受到Benigncertain漏洞影響。

但是，進一步分析表明，「Benigncertain」也影響IOS XE和IOS XR軟體中運行的產品。「Benigncertain」利用的CVE-2016-6415漏洞屬於IKEv1包處理代碼，會對一些運行IOS操作系統的設備和所有的思科PIX防火牆造成影響。

網際網路密匙交換(Internet Key Exchange,IKE)是用於保證虛擬專用網路(VPN)協商、遠程主機或網路接入安全的一項網路安全協議(IPsec)。遠程的、未經身份驗證的攻擊者可以利用該漏洞，通過發送特製的IKEv1包到受影響的設備，實現從流量和公開的重要信息（如RSA私鑰和配置信息）中找回記憶內容的目的。

思科安全顧問表示：「該漏洞的原理是部分不滿足檢查條件的代碼控制了IKEv1安全協商請求。攻擊者可以發送特製的IKEv1包給配置為接受IKEv1安全協商請求的目標設備，以此利用該漏洞。」n

該漏洞影響到Cisco IOS XR 4.3X、5.0X，5.1X和5.2 X版本，5.3.0及後來的版本受影響。所有的IOS XE版本和各個版本的iOS都受影響。思科證實所有的防火牆屬於PIX產品家族，但是，思科稱PIX系列產品早在2009年就已經宣布停產。此外，所有配置IKEv1的IOS、IOS XE 和IOS XR產品的運行都會受到影響。

思科暫未發布任何應對該漏洞的補丁，也沒有任何可用的解決方案。

該公司表示，此漏洞只能由指定配置IKEv1的設備利用。傳輸IKEv1 t並不會觸發此漏洞，可以利用此漏洞的數據包是有限的，攻擊者需要接收或能訪問相應設備的初始響應。建議客戶使用IPS和IDS解決方案保護易受攻擊的產品。

思科承諾會發布針對該零日漏洞的軟體更新補丁，但是具體發布時間未定。

註：本文參考來源於thehackernews

推薦閱讀：