Скринька з експлойта Equation Group поповнилася новим екземпляром

Компанія Cisco выпустила повідомлення безпеки CISCO-SA-20160916-IKEV1, яке підтверджує присутність ще однієї 0day уразливості в продуктах Cisco з архів Shadow Brokers. Вразливість типу Information Disclosure отримала ідентифікатор CVE-2016-6415 (IKEv1 Information Disclosure Vulnerability in Multiple Cisco Products) і присутній в коді обробки мережевих пакетів протоколу Internet Key Exchange version 1 (IKEv1) в продуктах Cisco IOS, IOS XE, а також IOS XR. З використанням уразливості атакуючий віддалено може отримати доступ до вмісту пам'яті з конфіденційною інформацією. Як і у випадку інших аналогічних вразливостей, експлуатація CVE-2016-6415 можлива за рахунок відправки на вразливе пристрій спеціальним чином сформованого мережевого пакету IKEv1.


Уразливість (BENIGNCERTAIN) актуальна для пристроїв тільки в тому випадку, коли вони налаштовані на використання протоколу IKEv1 і можуть приймати запити на погодження режиму безпеки (security negotiation requests). З її допомогою атакуючі можуть витягувати з пам'яті пристрою закриті ключі шифрування RSA.

Наступні версії продукту Cisco IOS XR схильні даної уразливості.

  • Cisco IOS XR 4.3.x
  • Cisco IOS XR 5.0.x
  • Cisco IOS XR 5.1.x
  • Cisco IOS XR 5.2.x
Версії 5.3.x і більш пізні не схильні даної уразливості.

Уразливості піддаються всі версії ПО Cisco IOS XE, у т. ч. всі продукти Cisco і апаратні брандмауери PIX.

За IKE закріплені окремі UDP-порти, відкритість яких свідчить про його активності: 500, 4500, 848, 4848. У наведеному нижче прикладі пристрій обробляє пакети IKE на порти з номерами 500 і 4500 з використанням мережевого протоколу IPv4 або IPv6.


У випадку з пристроєм на Cisco IOS, за допомогою наступної команди можна переконатися в тому, що IKE може бути вже включена в конфігурацію пристрою. Присутність наступної конфігурації при виводі команди свідчить про активність IKE: crypto map, tunnel protection ipsec, або crypto gdoi.


Уразливість вже експлуатується атакуючими спрямованих в атаках.

Cisco Product Security Incident Response Team (PSIRT) is aware of exploitation of the vulnerability for some Cisco customers who are running the affected platforms.
Закриває уразливість оновлення поки не вийшло.

Нижче представлена таблиця з обнаружениями AV-продуктів ESET для експлойтів Equation Group.


» Відома кибергруппировка Equation Group могла піддатися масштабного злому
» Опубліковані дані елітної кибергруппировки Equation Group не виявилися жартом
» Cisco і Fortinet випустили попередження безпеки після витоку даних Equation Group
» Документи Сноудена підтверджують достовірність даних Shadow Brokers
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.