Cisco проинформировала пользователей о новом открытии в связи с утечкой данных, организованной группой ShadowBrokers более месяца назад. Как оказалось, один эксплойт из этого дампа пригоден против всех версий IOS, IOS XE и IOS XR.

«Группе реагирования на нарушения безопасности продукции Cisco (PSIRT) известны случаи эксплуатации данной уязвимости у некоторых клиентов, использующих подверженные ей платформы», — сказано в информационном бюллетене компании, опубликованном в минувшую пятницу. Заплатки к этой бреши, CVE-2016-6415, пока нет, однако разработчик создал сигнатуры для системы предотвращения вторжений и правила Snort, которые помогут снизить риски.

Уязвимость, о которой идет речь, кроется в обработчике пакетов IKEv1 и затрагивает многие продукты Cisco, работающие на IOS, а также межсетевые экраны PIX. Протокол обмена ключами IKE (Internet Key Exchange) предусмотрен спецификациями IPSec и призван обеспечить безопасность взаимодействия в VPN-сети. Использование бреши CVE-2016-6415 позволяет удаленно извлечь содержимое памяти, что грозит раскрытием конфиденциальной информации, передаваемой по сети, такой как закрытые ключи RSA и другие детали настроек.

«Данная уязвимость вызвана неадекватной проверкой условий в той части кода, которая отвечает за обработку IKEv1-запросов на защищенное согласование, — поясняет Cisco в бюллетене. — Уязвимость может быть использована путем отправки специально сформированного пакета IKEv1 на уязвимое устройство, настроенное на прием IKEv1-запросов на защищенное согласование».

По данным Cisco, брешь CVE-2016-6415 затрагивает все продукты, использующие IOS XE любого релиза, а также IOS XR 4.3.x, 5.0.x, 5.1.x или 5.2.x; выпуски IOS XR 5.3.x и выше ей не подвержены. Сетевые экраны Cisco PIX были сняты с поддержки в 2009 году; в версиях 7.0 и выше данная уязвимость отсутствует.

Это уже второй случай, когда Cisco приходится принимать меры против эксплойтов, слитых ShadowBrokers в прошлом месяце. Вскоре после того, как эти уязвимости и эксплойты стали достоянием общественности и подтвердилась их связь с Equation Group (за которой, как многие считают, стоит АНБ), Cisco признала и пропатчила баг в реализации SNMP в межсетевых экранах ASA. Еще одну уязвимость, найденную в дампе ShadowBrokers и присутствовавшую в парсере интерфейса командной строки ASA, разработчик пропатчил еще в 2011 году. Обе эти уязвимости открывают возможность для удаленного исполнения кода.

«Cisco по-прежнему ратует за прозрачность и всегда будет помогать клиентам в защите сетей, — гласит заявление компании, предоставленное Threatpost. — При обнаружении новой уязвимости мы раскрываем эту информацию в соответствии с принятой внутренней процедурой. Точно так же мы поступили и в этом случае».

Связь дампа данных, представленного ShadowBrokers, с APT-группой Equation подтвердили эксперты «Лаборатории Касперского», которые полтора года назад впервые детализировали деятельность Equation Group. Свой дамп ShadowBrokers разделили на два архива, один из них можно просмотреть бесплатно. По свидетельству «лаборантов», этот «демообразец» содержит сотни эксплойтов для широко используемых сетевых устройств производства Cisco, Juniper, Fortinet и других известных вендоров. Исследователи нашли параллели между образцами кода Equation Group и кодами, слитыми ShadowBrokers, а также обнаружили в кодах другие свидетельства их взаимосвязи.

Эксплойт для ASA, именуемый EXTRABACON, позволяет без аутентификации получить доступ к сетевому экрану Cisco через SSH или Telnet. Исследователям из венгерской консультативной компании SilentSignal удалось за неделю переориентировать этот эксплойт на более новые версии ASA.

Эксплойт для только что раскрытой уязвимости в IOS и PIX носит имя BENIGNCERTAIN; его анализом занимался исследователь Мустафа аль-Бассам (Mustafa Al-Bassam). Как оказалось, этот эксплойт использует три бинарных кода, отвечающих за разные шаги общего процесса. В результате такой ступенчатой эксплуатации можно, к примеру, получить закрытый ключ RSA или VPN-настройки межсетевого экрана Cisco PIX.

Категории: Главное, Уязвимости