Nhà cung cấp thiết bị mạng Cisco cuối cùng đã cảnh báo khách hàng của mình về một lỗ hổng zero-day khác mà công ty đã phát hiện ra trong kho khai thác và cấy ghép hack của NSA bị rò rỉ bởi nhóm tự xưng là “The Shadow Brokers”.
Tháng trước, Shadow Brokers đã công bố các công cụ khai thác, cấy ghép và hack tường lửa được cho là đã đánh cắp từ Equation Group của NSA, được thiết kế để nhắm mục tiêu vào các nhà cung cấp lớn bao gồm Cisco, Juniper và Fortinet.
Khai thác tấn công, được đặt tên là ExtraBacon, tận dụng lỗ hổng zero-day (CVE-2016-6366) nằm trong mã Giao thức quản lý mạng đơn giản (SNMP) của phần mềm Cisco ASA có thể cho phép kẻ tấn công từ xa tải lại hệ thống bị ảnh hưởng hoặc thực thi mã độc.
Giờ đây, Cisco đã tìm thấy một cách khai thác zero-day khác, được đặt tên là “Benigncertain”, nhằm vào các tường lửa PIX.
Cisco đã phân tích khai thác và lưu ý rằng họ đã không xác định được bất kỳ lỗi mới nào liên quan đến khai thác này trong các sản phẩm hiện tại của mình.
Tuy nhiên, phân tích sâu hơn của Benigncertain tiết lộ rằng việc khai thác cũng ảnh hưởng đến các sản phẩm của Cisco chạy phần mềm IOS, IOS XE và IOS XR.
Benigncertain đã tận dụng lỗ hổng (CVE-2016-6415) nằm trong mã xử lý gói IKEv1 và ảnh hưởng đến một số thiết bị Cisco chạy hệ điều hành IOS và tất cả tường lửa PIX của Cisco.
IKE (Internet Key Exchange) là một giao thức được sử dụng cho tường lửa, để cung cấp mạng riêng ảo (VPN) và thậm chí quản lý các hệ thống điều khiển công nghiệp.
Kẻ tấn công từ xa, trái phép có thể sử dụng lỗ hổng này để truy xuất nội dung bộ nhớ từ lưu lượng truy cập và tiết lộ thông tin quan trọng như khóa riêng RSA và thông tin cấu hình bằng cách gửi các gói IKEv1 được chế tạo đặc biệt đến các thiết bị bị ảnh hưởng.
Học cách bảo vệ phạm vi nhận dạng – Các chiến lược đã được chứng minh
Cải thiện bảo mật doanh nghiệp của bạn với hội thảo trực tuyến về an ninh mạng do chuyên gia hướng dẫn sắp tới của chúng tôi: Khám phá các chiến lược Vành đai nhận dạng!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
“Lỗ hổng bảo mật là do kiểm tra điều kiện không đầy đủ trong phần mã xử lý các yêu cầu đàm phán bảo mật IKEv1. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi gói IKEv1 được tạo thủ công tới thiết bị bị ảnh hưởng được định cấu hình để chấp nhận yêu cầu đàm phán bảo mật IKEv1“, Cisco cho biết trong lời khuyên của mình.
Hệ điều hành IOS của Cisco phiên bản XR 4.3.x, 5.0.x, 5.1.x và 5.2.x, cũng như tường lửa PIX phiên bản 6.x trở về trước, đều dễ bị ảnh hưởng bởi lỗ hổng này, mặc dù công ty đã không hỗ trợ PIX kể từ năm 2009.
Cả Cisco chưa phát triển bản vá cho lỗ hổng này cũng như không có bất kỳ giải pháp thay thế nào.
Công ty cho biết lỗ hổng hiện đang được khai thác, khuyên khách hàng của mình sử dụng hệ thống phát hiện xâm nhập (IDS) và hệ thống ngăn chặn xâm nhập (IPS) để giúp ngăn chặn các cuộc tấn công.
Cisco hứa sẽ phát hành bản cập nhật phần mềm để vá lỗi CVE-2016-6415 nhưng không chỉ định khung thời gian.
