首页 » 漏洞 » 浅析思科0day漏洞CVE-2016-6415

浅析思科0day漏洞CVE-2016-6415

 
文章目录

浅析思科0day漏洞CVE-2016-6415

我们在昨天发表的一篇文章中简单介绍了方程式的“BENIGNCERTAIN”利用工具和漏洞CVE-2016-6415,在这篇文章中,我们将带大家了解这个漏洞到底是个什么情况。

事件概述

今年夏天,一个名为“Shadow Brokers”的黑客组织入侵了“Equation Group”(方程式组织)网络系统,并且从中窃取了大约300MB的漏洞利用工具和网络入侵工具。据报道,思科公司目前又确认了另外一个与此次事件相关的0day漏洞(CVE-2016-6415)。

在ShadowBrokers将窃取来的文档泄漏到了网上之后,思科、Juniper、以及Fortinet等大型设备供应商便立刻对自己的系统进行了安全分析,并且希望可以尽快找出方设备中存在的0 day漏洞,然后修复它们。

有关“EXTRABACON”与漏洞CVE-2016-6366

我们先前曾经介绍过方程式组织另一款名为EXTRABACON”工具,攻击者可以利用这款黑客工具来入侵思科ASA系列防火墙。“EXTRABACON”利用的是漏洞CVE-2016-6366,当攻击者成功渗透进了目标网络之后,他便可以通过这个漏洞来获取到思科ASA防火墙设备的完整控制权。今年八月底,思科公司正式发布了一个针对ASA防火墙软件的更新补丁,并成功修复了这一漏洞。

“BENIGNCERTAIN”与漏洞CVE-2016-6415

安全专家对ShadowBrokers泄漏的材料进行了深入分析,并且发现了另外一款名为“BENIGNCERTAIN”的漏洞利用工具。据了解,攻击者可以利用这一工具来从特定的思科设备中提取出VPN密码。

安全研究专家MustafaAI-Bassam在对“BENIGNCERTAIN”进行了分析之后,将这类攻击命名为了“PixPocket”攻击。因为该漏洞利用工具针对是思科PIX系列产品,因此而得名。实际上,从2009年开始,思科PIX系列产品就已经开始在逐步被淘汰了,但是现在还有不少的政府部门和企业组织仍在使用这类产品。

根据安全专家透露的信息,“BENIGNCERTAIN”针对的是版本号在5.2(9)至6.3(4)之间的思科PIX产品。根据思科公司发布的官方信息,v7.0及其以上版本的PIX产品并不会受此工具的影响。但不幸的是,进一步的分析表明,“BENIGNCERTAIN”所利用的另一个漏洞(CVE-2016-6415)同样会影响那些运行了IOS、IOS XE、以及IOS XR软件的产品。

漏洞CVE-2016-6415概述

漏洞CVE-2016-6415存在于思科IOS、思科IOS XE和思科IOS XR软件中的IKEv1数据包处理代码中,未经身份验证的远程攻击者可以利用这个漏洞获取到目标设备内存中的数据内容,而且这将有可能导致敏感信息的泄漏。

而这也就意味着,“BENIGNCERTAIN”将能够通过远程发送数据包来提取出思科VPN密钥。这可是个大麻烦!

浅析思科0day漏洞CVE-2016-6415

这个漏洞之所以会存在,主要是因为软件中负责处理IKEv1安全会话请求的那部分代码没有进行足够有效的条件审查。攻击者只需要向接受IKEv1安全会话请求的感染设备发送一个经过特殊设计的IKEv1数据包,便可以利用该漏洞来进行攻击。如果漏洞利用成功,那么攻击者就可以获取到目标设备内存中的数据,而这就有可能导致企业或组织的敏感数据发生泄漏。思科公司的安全技术人员目前正在处理这个问题,问题解决后思科公司会在第一时间向用户推送软件更新通知。所以目前用户仍然拿这个漏洞毫无办法。

“BENIGNCERTAIN”分析

安全研究专家通过分析之后发现,“BENIGNCERTAIN”可以向思科VPN发送IKE数据包,并从设备的响应数据中解析出VPN密钥。

浅析思科0day漏洞CVE-2016-6415

浅析思科0day漏洞CVE-2016-6415


“BENIGNCERTAIN”的运行机制

第一步:运行“bc-genpkt”来生成一个用于发送给思科VPN的数据包。

浅析思科0day漏洞CVE-2016-6415

第二步:运行“bc-id”,将生成的数据包发送给目标设备。

浅析思科0day漏洞CVE-2016-6415

第三步:运行“bc-parser”,解析思科VPN的响应数据。需要注意的是,该命令可以从响应数据中提取出RSA私钥和VPN的其他配置信息。

浅析思科0day漏洞CVE-2016-6415


受影响产品

思科IOS XR系列软件

所有运行了下列思科IOS XR软件的设备和产品都会受此漏洞影响:

Cisco IOS XR 4.3.x

Cisco IOS XR 5.0.x

Cisco IOS XR 5.1.x

Cisco IOS XR 5.2.x

请注意:5.3.x以及更高版本的思科IOSXR软件并不会受此漏洞影响。

思科IOS系列软件

为了帮助客户确认自己所使用的思科IOS系列软件是否会受到该漏洞的影响,思科公司给用户提供了一款“思科IOS软件检测工具”[传送门]。用户可以使用该工具来搜索思科安全公告中相应产品的漏洞描述和更新补丁。

浅析思科0day漏洞CVE-2016-6415

用户可以使用该工具来完成下列任务:

1.    通过在下拉菜单中选择一个或多个产品,或者从本地系统上传文件,选择好之后该工具将会对文件进行解析操作。

2.    使用“show version”命令让该工具开始解析。

3.    在所有已发布的思科安全公告中进行自定义查询。

思科IOSXE系列软件

关于思科IOSXE系列软件的漏洞影响情况如下表所示:

浅析思科0day漏洞CVE-2016-6415

注:用户可以在“思科IOS软件检测工具”中了解思科IOS和IOS XE系列软件的受影响情况,用户也可以通过该工具来获取思科公司所发布的漏洞调查结果和更新补丁。

目前,为了确定哪一款产品有可能会受到该漏洞的影响,以及相应产品受影响的程度,思科公司正在对其产品线进行调查和分析。在分析过程中,思科公司会通过漏洞公告来及时发布相关的漏洞信息。用户可以使用“思科漏洞搜索工具”来了解到相关漏洞的最新调查结果。

详细信息

IPsec协议套件会使用IKE协议来协商数据加密过程中需要使用到的各种属性,而通信会话需要这些属性参数来加密信息或完成身份验证。这些属性包括加密算法、加密模式、以及共享密钥。最终将会生成一个共享会话密钥,它可以用来导出通信过程中的加密密钥。

思科IOS、思科IOSXE、以及思科IOSXR系列软件均支持通过IPv4和IPv6协议来完成网络密钥交换。IKE通信可以使用下列UDP端口:

UDP端口500

UDP端口4500(NAT-T)

UDP端口848(GDOI)

UDP端口4848(GDOINAT-T)

这也就意味着,攻击者可以通过上述UDP端口以及IPv4或IPv6协议来利用该漏洞。需要注意的是,虽然攻击者可以通过数据包欺骗等手段来利用该漏洞,但是这种攻击方式的实际影响并不大。因为攻击者只有在获取并访问到目标设备的初始响应信息后,才有可能给用户造成损失。

受影响产品

思科公司目前已经确认的受影响产品名单如下(前提是使用了IKEv1):

-所有运行了思科IOS系列软件(含漏洞的版本)的思科产品

-所有运行了思科IOS XE系列软件(含漏洞的版本)的思科产品

-所有运行了思科IOS XR系列软件(含漏洞的版本)的思科产品

-思科PIX防火墙

注:虽然攻击者只能通过IKEv1数据包来触发这个漏洞,但是运行了思科IOS软件或思科IOSXE软件的设备支持使用IKEv1或者IKEv2的话,将同样有可能受到攻击。

目前思科公司仍在调查其他的思科产品是否会受到这一漏洞的影响。根据目前的调查结果显示,思科PIX防火墙6.x及其以上版本都会受到该漏洞的影响。但PIXv7.0及其以上版本不会受该漏洞影响。

虽然思科IOS系列软件和思科IOS XE系列软件在配置了IKEv1或者IKEv2之后,会默认开启IKEv1,但是攻击者只能通过向目标设备发送一个精心设计的IKEv1数据包来触发该漏洞。

以下几个功能将会使用到IKEv1:

LAN-to-Lan VPN

远程访问VPN(不含SSLVPN)

动态多点vpn(DMVPN)

GDOI

注:思科IOSXR平台并不支持动态多点vpn和基于GDOI的VPN。

用户可以通过下面这两种方法查看设备是否配置了IKE:

1.    查看运行设备上的IKE端口是否处于开启状态;

2.    在设备配置中查看IKE功能的相关信息;

查看运行设备上的IKE端口是否处于开启状态

如果用户需要确定设备是否配置了IKE,那么这个方法肯定是各位的首选方法。首先切换到路由器的终端交互界面,然后输入并运行“show ip sockets”和“show udp”命令。如果设备的UPD端口500、UDP端口4500、UDP端口848、或者UDP端口4848中的任意一个端口处于开启状态的话,我们都可以直接看到。

在下面的例子中,设备正在通过UDP端口500和UDP端口4500来处理IKE数据包,使用的是IPv4协议或者IPv6协议:

浅析思科0day漏洞CVE-2016-6415


在设备配置中查看IKE功能的相关信息

为了确定思科IOS设备的配置是否安全,网络管理员就需要查看网络设备中是否有其他的功能会使用IKE。管理员可以通过命令“showrun | include crypto map|tunnel protection ipsec|crypto gdoi”来查看。如果命令的输出结果中包含有“crypto map”、“tunnel protection ipsec”、或者“crypt gdoi”的话,说明设备中含有关于IKE的配置信息。具体请看下面这个例子:

浅析思科0day漏洞CVE-2016-6415

除了上述的方法之外,网络管理员也可以登录设备,然后在命令行工具中使用“show version”来查看设备的相信信息,并通过这些信息来确定自己的设备是否安全。

入侵指标(IoC)

思科IPS签名 7699-0以及SnortSID 40220(1), 40221(1), and 40222(1)都可以检测到针对该漏洞的攻击。

已确认不会受此漏洞影响的产品

思科ASA5500和思科ASA5500-X系列自适应安全设备不会受到这一漏洞的影响。在本篇文章发稿之前,思科公司还没有发现其他受此漏洞影响的产品。

目前仍没有可用的固件更新

在ShadowBrokers将这些数据发布到网上之后,思科公司的安全团队便立刻对此事件进行了响应。目前,思科公司已经修复了EPICBANANA,JETPLOW以及EXTRABACON所利用的漏洞。在泄漏文件曝光之后的几天时间里,其他与此次事件相关的网络硬件设备制造商也开始逐步修复了泄漏文件中所涉及到漏洞。

在这篇文章发稿时,思科公司仍然没有发布可以解决“BENIGNCERTAIN”攻击的固件更新,而且用户目前也没有任何可以保护设备安全的解决方案。思科公司建议网络管理员使用入侵防御系统(IPS)或者入侵检测系统(IDS)来检测或防止针对该漏洞的网络攻击。除此之外,网络管理员也应该实时监控受影响系统的运行情况。当然了,如果你愿意的话,你可以直接拔掉相关网络设备的网线,这样就不会出事了。 

* 参考来源:cisco官网softpediasecurityaffairs,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

原文链接:浅析思科0day漏洞CVE-2016-6415,转载请注明来源!

0