在雅虎遭遇史上最大规模的单一网站泄露事件后,黑客余弦曾评论:
比起雅虎被泄露5亿账号信息来说,更值得关注的是思科相关设备在处理IKEv1数据包存在严重缺陷导致攻击者可以直接远程获取内存里的隐私信息(这个过程类似两年多前席卷全球的“心脏出血”)。
这个线索之前就在NSA方程式组织被泄露的利用代码里躺着,代号为“BENIGNCERTAIN”(思科认为这次漏洞类似“BENIGNCERTAIN”),看来大家的警觉性还是比较滞后,估计是因为之前只觉得“BENGINCERTAIN”影响的是上古时代的思科PIX设备...
目前,全球近86万思科设备受这个漏洞影响,高危!
Shadowserver团队的这次深挖研究很赞。
而据外媒softpedia报道,从最近一次对思科网络设备的扫描发现,全球仍有几十万台设备未打上安全补丁,这些设备将面临被攻击者从内存中检索数据的安全隐患。
思科公司最近承认了这一事实:网上有一个不具名的黑客团体发布了一款网络攻击套件,该攻击套件此前被认为仅对印象旧款(已停产的)PIX固件产生影响,但现在发现它还波及其他新型号。
这款工具名为“BENINGCERTAIN”,于今年8月由一群名为The Shadow Brokers团体泄露,该团体还同时发布了数十款攻击工具,他们声称这些都是从黑客组织方程式获取,众所周知,黑客组织方程式与NSA有着说不清道不明的关系。
BENINGCERTAIN从思科设备上提取VPN密钥
据LulzSec黑客团体联合创始人tFlow(即Mustafa AL-Bassam)的最初分析,有人可以利用BENINGCERTAIN来提取思科PIX防火墙上的虚拟专用网(VPN)密钥。
上周,也就是BENINGCERTAIN泄露一个月后,思科公司宣布,这款工具同样影响当前运行IOS(即互联网操作系统,思科公司为其网络设备开发的操作维护系统)、IOS XE、IOS XR软件的设备。
在softpedia发文时,依然没有针对BENINGCERTAIN(Pix Pocket)的有效补丁发布。
研究者利用IKE固件发现受威胁设备
在技术层面上,漏洞CVE-2016-6415利用了思科防火墙固件中处理IKEv1和IKEv2(互联网密钥交换)数据包的一个漏洞。
在思科工程师的帮助下,Shadowserver基金对可能受到该漏洞威胁的思科设备进行了全网扫描。思科公司表示:
我们正在查询所有通过专门制作的、带有64比特ISAKMP数据包的、没有互联网防火墙的IPv4地址计算机,并捕获它们的响应。
超85万台设备暴露在线上
根据Shadowserver基金在9月25日(00:12GMT)发布的扫描结果,目前仍有850803台受到该漏洞威胁的思科设备在线上,其中,超过25万台在美国,其他分布在俄罗斯、英国、德国、加拿大。
softpedia称,因为大量设备的公开代码可以在网上查到,所以极易遭受企业网络攻击。
所以,此前思科公司建议,负责这些设备的网管最好把将设备置于防火墙后。
