Шкатулка с эксплойтами Equation Group пополнилась новым экземпляром

Компания Cisco выпустила уведомление безопасности CISCO-SA-20160916-IKEV1, которое подтверждает присутствие еще одной 0day уязвимости в продуктах Cisco из архива Shadow Brokers. Уязвимость типа Information Disclosure получила идентификатор CVE-2016-6415 (IKEv1 Information Disclosure Vulnerability in Multiple Cisco Products) и присутствует в коде обработки сетевых пакетов протокола Internet Key Exchange version 1 (IKEv1) в продуктах Cisco IOS, IOS XE, а также IOS XR. С использованием уязвимости атакующий удаленно может получить доступ к содержимому памяти с конфиденциальной информацией. Как и в случае других аналогичных уязвимостей, эксплуатация CVE-2016-6415 возможна за счет отправки на уязвимое устройство специальным образом сформированного сетевого пакета IKEv1.

Уязвимость (BENIGNCERTAIN) актуальна для устройств только в том случае, когда они сконфигурированы на использование протокола IKEv1 и могут принимать запросы на согласование режима безопасности (security negotiation requests). С ее помощью атакующие могут извлекать из памяти устройства закрытые ключи шифрования RSA.

Следующие версии продукта Cisco IOS XR подвержены данной уязвимости.

  • Cisco IOS XR 4.3.x
  • Cisco IOS XR 5.0.x
  • Cisco IOS XR 5.1.x
  • Cisco IOS XR 5.2.x

Версии 5.3.x и более поздние не подвержены данной уязвимости.

Уязвимости подвержены все версии ПО Cisco IOS XE, в т. ч. все продукты Cisco и аппаратные брандмауэры PIX.

За IKE закреплены отдельные UDP-порты, открытость которых свидетельствует о его активности: 500, 4500, 848, 4848. В приведенном ниже примере устройство обрабатывает пакеты IKE на порты с номерами 500 и 4500 с использованием сетевого протокола IPv4 или IPv6.

В случае с устройством на Cisco IOS, с помощью следующей команды можно убедиться в том, что IKE может быть уже включена в конфигурацию устройства. Присутствие следующей конфигурации при выводе команды свидетельствует об активности IKE: crypto map, tunnel protection ipsec, или crypto gdoi.

Уязвимость уже эксплуатируется атакующими в направленных атаках. Закрывающее уязвимость обновление пока не вышло.