Шкатулка с эксплойтами Equation Group пополнилась новым экземпляром

    Компания Cisco выпустила уведомление безопасности CISCO-SA-20160916-IKEV1, которое подтверждает присутствие еще одной 0day уязвимости в продуктах Cisco из архива Shadow Brokers. Уязвимость типа Information Disclosure получила идентификатор CVE-2016-6415 (IKEv1 Information Disclosure Vulnerability in Multiple Cisco Products) и присутствует в коде обработки сетевых пакетов протокола Internet Key Exchange version 1 (IKEv1) в продуктах Cisco IOS, IOS XE, а также IOS XR. С использованием уязвимости атакующий удаленно может получить доступ к содержимому памяти с конфиденциальной информацией. Как и в случае других аналогичных уязвимостей, эксплуатация CVE-2016-6415 возможна за счет отправки на уязвимое устройство специальным образом сформированного сетевого пакета IKEv1.


    Уязвимость (BENIGNCERTAIN) актуальна для устройств только в том случае, когда они сконфигурированы на использование протокола IKEv1 и могут принимать запросы на согласование режима безопасности (security negotiation requests). С ее помощью атакующие могут извлекать из памяти устройства закрытые ключи шифрования RSA.

    Следующие версии продукта Cisco IOS XR подвержены данной уязвимости.

    • Cisco IOS XR 4.3.x
    • Cisco IOS XR 5.0.x
    • Cisco IOS XR 5.1.x
    • Cisco IOS XR 5.2.x

    Версии 5.3.x и более поздние не подвержены данной уязвимости.

    Уязвимости подвержены все версии ПО Cisco IOS XE, в т. ч. все продукты Cisco и аппаратные брандмауэры PIX.

    За IKE закреплены отдельные UDP-порты, открытость которых свидетельствует о его активности: 500, 4500, 848, 4848. В приведенном ниже примере устройство обрабатывает пакеты IKE на порты с номерами 500 и 4500 с использованием сетевого протокола IPv4 или IPv6.


    В случае с устройством на Cisco IOS, с помощью следующей команды можно убедиться в том, что IKE может быть уже включена в конфигурацию устройства. Присутствие следующей конфигурации при выводе команды свидетельствует об активности IKE: crypto map, tunnel protection ipsec, или crypto gdoi.


    Уязвимость уже эксплуатируется атакующими в направленных атаках.

    Cisco Product Security Incident Response Team (PSIRT) is aware of exploitation of the vulnerability for some Cisco customers who are running the affected platforms.

    Закрывающее уязвимость обновление пока не вышло.

    Ниже представлена таблица с обнаружениями AV-продуктов ESET для эксплойтов Equation Group.


    » Известная кибергруппировка Equation Group могла подвергнуться масштабному взлому
    » Опубликованные данные элитной кибергруппировки Equation Group не оказались шуткой
    » Cisco и Fortinet выпустили уведомления безопасности после утечки данных Equation Group
    » Документы Сноудена подтверждают достоверность данных Shadow Brokers
    ESET NOD32
    0.00
    Company
    Share post

    Comments 0

    Only users with full accounts can post comments. Log in, please.