Loading
0

方程式再曝0day漏洞:超84万思科设备受影响

前一阵的NSA方程式组织被黑事件,可能受影响最大的还不是美国政府,而是思科——因为这次事件中,公布了大量针对思科安全产品的漏洞利用工具,思科不得不一个个去调查研究,确认漏洞存在与否,发布安全公告,着手漏洞修复。

我们已经对其中的ExtraBacon利用工具,和涉及到的相关漏洞进行了一波分析。在之前描述ExtraBacon的文章中,我们带到过另一款漏洞利用工具,即BenignCertain。这款工具专门针对思科的PIX防火墙家族产品,此工具可用于解密VPN流量。

思科那个时候已经发布了相应的安全公告,明确该工具影响到思科PIX版本5.2(9)-6.3(4),但不影响7.0及更新版本。早在2009年的时候,PIX产品线就已经不再更新了,不过仍有大量企业和政府在广泛使用此系列产品。思科还在8月19日再度确认,BenignCertain利用工具不再涉及其它漏洞。

然而就在这两天,思科再度发布了一份安全公告,明确编号为CVE-2016-6415漏洞的存在性——这也是BenignCertain工具利用的漏洞。

Cisco-IOS-XR.png

又一个漏洞被发现

CVE-2016-6415漏洞影响到IOS、IOS XE和IOS XR软件:具体影响到IOS XR版本4.3.x、5.0.x、5.1.x和5.2.x(5.3.0及更新版本不受影响),所有IOS XE,以及数个IOS版本,详情可见思科的安全公告。

CVE-2016-6415漏洞存在于IKEv1包处理代码中,利用该漏洞可致远程、未认证的攻击者获取存储内容(memory contents)。思科的安全公告中提到:

“该漏洞是由处理IKEv1安全会话请求的部分代码条件检查不足所致。要利用该漏洞,攻击者可构造IKEv1包,并发送至受影响设备(且配置为接收IKEv1安全协商请求)。”

据说已经有黑客开始利用该漏洞针对思科的部分客户发动攻击,思科方面虽然已经在安全公告中发布了IOC,但尚未发布安全补丁。不过思科针对IPS发布了检测签名,可用于对网络进行保护。

此外思科还发布了一款在线工具,用户以此可了解产品是否受到此漏洞的影响。

84万思科系统受到影响

为了了解这个漏洞的影响范围,专门追踪网络犯罪、协助僵尸网络调查的组织Shadowserver Foundation针对ISAKMP(Internet安全联盟密钥管理协议)进行了一次全球型的互联网扫描。最近一次扫描是在昨天进行的,持续了大约两个半小时。

CVE-2016-6415-scan.jpg

“本次扫描是为了寻找那些IKEv1包处理代码中存在漏洞的设备,该漏洞可致为认证的远程攻击者获取存储内容,最终导致机密信息泄露…”

“这个项目的目标就是要找出存在漏洞的系统,并向相应的网络管理员发出报告,做出补救。这些存在漏洞的设备已经融合到我们的报告中,并正在进行每日更新。”

按照Shadowserver Foundation所说,这次扫描和调查是在思科的鼎力协助下进行的,采用特别构造的64字节ISAKMP包收集来自被检测设备的响应。原本包的尺寸达到了2600字节,思科帮忙将包大小减少到了64字节,详情可查看这份报告:《ISAKMP扫描与潜在漏洞》。

6777DCD5-8504-4A70-8EAA-093503220660.png

扫描结果显示,存在CVE-2016-6415漏洞的设备相关独立IP超过84万个。全球范围内,若以国家来区分,那么漏洞存在数量的大致情况如上图所示。美国受到的影响当然是最大的,是排在第二的俄罗斯的6倍,中国恰好排在第10的位置。

6CFC9191-C785-4FE1-A9CF-829433106887.png

另外本次检测也分析了AS号(自治系统号码),大致情况如上图所示,排在前两位的是Comcast和AT&T的网络IP,中国电信也榜上有名。

思科已经在敦促受到影响的用户,通过IPS/IDS解决方案来保护存在漏洞的产品。我们在稍后的文章中,还会对BenignCertain利用工具和CVE-2016-6415漏洞进行更为详细的分析。

【声明】:8090安全小组门户(http://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。