信息來源:Freebuf
前一陣的NSA方程式組織被黑事件,可能受影響最大的還不是美國政府,而是思科——因?yàn)檫@次事件中,公布了大量針對(duì)思科安全產(chǎn)品的漏洞利用工具,思科不得不一個(gè)個(gè)去調(diào)查研究,確認(rèn)漏洞存在與否,發(fā)布安全公告,著手漏洞修復(fù)。
我們已經(jīng)對(duì)其中的ExtraBacon利用工具,和涉及到的相關(guān)漏洞進(jìn)行了一波分析。在之前描述ExtraBacon的文章中,我們帶到過另一款漏洞利用工具,即BenignCertain。這款工具專門針對(duì)思科的PIX防火墻家族產(chǎn)品,此工具可用于解密VPN流量。
思科那個(gè)時(shí)候已經(jīng)發(fā)布了相應(yīng)的安全公告,明確該工具影響到思科PIX版本5.2(9)-6.3(4),但不影響7.0及更新版本。早在2009年的時(shí)候,PIX產(chǎn)品線就已經(jīng)不再更新了,不過仍有大量企業(yè)和政府在廣泛使用此系列產(chǎn)品。思科還在8月19日再度確認(rèn),BenignCertain利用工具不再涉及其它漏洞。
然而就在這兩天,思科再度發(fā)布了一份安全公告,明確編號(hào)為CVE-2016-6415漏洞的存在性——這也是BenignCertain工具利用的漏洞。
又一個(gè)漏洞被發(fā)現(xiàn)
CVE-2016-6415漏洞影響到IOS、IOS XE和IOS XR軟件:具體影響到IOS XR版本4.3.x、5.0.x、5.1.x和5.2.x(5.3.0及更新版本不受影響),所有IOS XE,以及數(shù)個(gè)IOS版本,詳情可見思科的安全公告。
CVE-2016-6415漏洞存在于IKEv1包處理代碼中,利用該漏洞可致遠(yuǎn)程、未認(rèn)證的攻擊者獲取存儲(chǔ)內(nèi)容(memory contents)。思科的安全公告中提到:
“該漏洞是由處理IKEv1安全會(huì)話請(qǐng)求的部分代碼條件檢查不足所致。要利用該漏洞,攻擊者可構(gòu)造IKEv1包,并發(fā)送至受影響設(shè)備(且配置為接收IKEv1安全協(xié)商請(qǐng)求)。”
據(jù)說已經(jīng)有黑客開始利用該漏洞針對(duì)思科的部分客戶發(fā)動(dòng)攻擊,思科方面雖然已經(jīng)在安全公告中發(fā)布了IOC,但尚未發(fā)布安全補(bǔ)丁。不過思科針對(duì)IPS發(fā)布了檢測簽名,可用于對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù)。
此外思科還發(fā)布了一款在線工具,用戶以此可了解產(chǎn)品是否受到此漏洞的影響。
84萬思科系統(tǒng)受到影響
為了了解這個(gè)漏洞的影響范圍,專門追蹤網(wǎng)絡(luò)犯罪、協(xié)助僵尸網(wǎng)絡(luò)調(diào)查的組織Shadowserver Foundation針對(duì)ISAKMP(Internet安全聯(lián)盟密鑰管理協(xié)議)進(jìn)行了一次全球型的互聯(lián)網(wǎng)掃描。最近一次掃描是在昨天進(jìn)行的,持續(xù)了大約兩個(gè)半小時(shí)。
“本次掃描是為了尋找那些IKEv1包處理代碼中存在漏洞的設(shè)備,該漏洞可致為認(rèn)證的遠(yuǎn)程攻擊者獲取存儲(chǔ)內(nèi)容,最終導(dǎo)致機(jī)密信息泄露…”
“這個(gè)項(xiàng)目的目標(biāo)就是要找出存在漏洞的系統(tǒng),并向相應(yīng)的網(wǎng)絡(luò)管理員發(fā)出報(bào)告,做出補(bǔ)救。這些存在漏洞的設(shè)備已經(jīng)融合到我們的報(bào)告中,并正在進(jìn)行每日更新?!?
按照Shadowserver Foundation所說,這次掃描和調(diào)查是在思科的鼎力協(xié)助下進(jìn)行的,采用特別構(gòu)造的64字節(jié)ISAKMP包收集來自被檢測設(shè)備的響應(yīng)。原本包的尺寸達(dá)到了2600字節(jié),思科幫忙將包大小減少到了64字節(jié),詳情可查看這份報(bào)告:《ISAKMP掃描與潛在漏洞》。
掃描結(jié)果顯示,存在CVE-2016-6415漏洞的設(shè)備相關(guān)獨(dú)立IP超過84萬個(gè)。全球范圍內(nèi),若以國家來區(qū)分,那么漏洞存在數(shù)量的大致情況如上圖所示。美國受到的影響當(dāng)然是最大的,是排在第二的俄羅斯的6倍,中國恰好排在第10的位置。
另外本次檢測也分析了AS號(hào)(自治系統(tǒng)號(hào)碼),大致情況如上圖所示,排在前兩位的是Comcast和AT&T的網(wǎng)絡(luò)IP,中國電信也榜上有名。
思科已經(jīng)在敦促受到影響的用戶,通過IPS/IDS解決方案來保護(hù)存在漏洞的產(chǎn)品。我們?cè)谏院蟮奈恼轮校€會(huì)對(duì)BenignCertain利用工具和CVE-2016-6415漏洞進(jìn)行更為詳細(xì)的分析。