Hơn 850.000 thiết bị Cisco bị ảnh hưởng bởi lỗ hổng zero-day chưa được vá

16/06/2015
83
672 bài viết
Hơn 850.000 thiết bị Cisco bị ảnh hưởng bởi lỗ hổng zero-day chưa được vá
[Update ngày 26/9]: Theo kết quả quét các thiết bị Cisco trên toàn cầu, hơn 850.000 thiết bị dễ bị ảnh hưởng bởi một lỗ hổng zero-day chưa được vá có liên quan đến bộ khai thác “Shadow Brokers”, cho phép tin tặc lấy cắp dữ liệu từ bộ nhớ của thiết bị.

Nguồn: Softpedia

------------------

Cisco vừa thông báo với khách hàng phân tích sâu hơn về các sản phẩm có thể bị ảnh hưởng bởi bộ khai thác và mã độc gần đây của nhóm "Shadow Brokers", tiết lộ sự tồn tại của một lỗ hổng zero-day.

Giữa tháng tám, nhóm Shadow Brokers làm rò rỉ khoảng 300 Mb dữ liệu gồm các bộ khai thác tường lửa, mã độc và công cụ bị cáo buộc đánh cắp từ nhóm tấn công mạng “Equation Group” được cho là có liên quan đến tổ chức tình báo NSA. Các nhà cung cấp tường lửa lớn đã phân tích vụ rò rỉ và Cisco phát hiện một trong các bộ khai thác, mệnh danh "EXTRABACON", dựa trên một lỗ hổng zero-day ảnh hưởng đến mã SNMP của phần mềm ASA của hãng.
1489939951cisco.png



Lỗ hổng, CVE-2016-6366, cho phép kẻ tấn công từ xa khiến một hệ thống tải lại hoặc thực thi mã tùy ý. Cisco đã phát hành bản vá lỗi cho các phiên bản chính của phần mềm ASA.

Một bộ khai thác nữa bị Shadow Brokers rò rỉ là "BENIGNCERTAIN", nhắm đến tường lửa PIX không còn được hỗ trợ từ năm 2009. Cisco xác định các phiên bản từ PIX 7.0 trở đi không bị ảnh hưởng. Ngày 19/8 hãng cho biết không thấy có bất kỳ lỗ hổng mới liên quan đến khai thác này trong các sản phẩm hiện hành.

Phân tích sâu hơn cho thấy lỗ hổng mà BENIGNCERTAIN lợi dụng cũng ảnh hưởng đến các sản phẩm chạy phần mềm IOS, IOS XE và IOS XR.

Lỗ hổng an ninh, CVE-2016-6415, tồn tại trong mã xử lý gói tin IKEv1, cho phép kẻ tấn công trái phép từ xa lấy được nội dung bộ nhớ, vốn có thể chứa thông tin nhạy cảm.

"Lỗ hổng là do kiểm tra điều kiện không đầy đủ trong một phần mã xử lý truy vấn đàm phán an ninh IKEv1. Một kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một gói tin IKEv1 tự tạo tới một thiết bị bị ảnh hưởng được cấu hình để nhận truy vấn đàm phán an ninh IKEv1", Cisco cho biết.

Lỗ hổng này ảnh hưởng đến Cisco IOS XR phiên bản 4.3.x, 5.0.x, 5.1.x và 5.2.x - phiên bản 5.3.0 và sau đó không bị ảnh hưởng. Tất cả các phiên bản IOS XE và nhiều phiên bản của IOS bị ảnh hưởng.

Cisco xác nhận tường lửa PIX và tất cả các sản phẩm chạy phiên bản bị ảnh hưởng của IOS, IOS XE và IOS XR đều bị ảnh hưởng nếu được cấu hình để sử dụng IKEv1. Hãng vẫn đang xác định nếu các sản phẩm khác cũng bị ảnh hưởng.

Theo Cisco, nhiều kẻ đã cố gắng tấn công khách hàng sử dụng các nền tảng bị ảnh hưởng.

Cisco đã hứa sẽ phát hành bản vá cho CVE-2016-6415, nhưng không có cách giải quyết nào cả. Công ty đã công bố chỉ số phá hoại (IoC) và khuyên khách hàng sử dụng giải pháp IPS và IDS để ngăn chặn các cuộc tấn công.

"Lỗ hổng này chỉ có thể bị khai thác bởi lưu lượng IKEv1 được xử lý bởi một thiết bị cấu hình cho IKEv1. Lưu lượng IKEv1 chuyển tiếp không thể kích hoạt lỗ hổng. IKEv2 không bị ảnh hưởng", Cisco cho biết. "Giả mạo các gói tin có thể khai thác lỗ hổng bị hạn chế vì kẻ tấn công cần phải nhận được hoặc có quyền truy cập vào phản hồi ban đầu từ thiết bị có lỗ hổng".

Theo Security Week
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên