top of page

Cisco encontra falhas baseadas nos vazamentos da Shadow Brokers


Em meados de agosto, a Shadow-Brokers vazou cerca de 300Mb de exploits de firewall, implantes e instrumentos supostamente roubados do grupo "Equation Group" da NSA.


Os principais fornecedores de firewall analisaram o vazamento e a Cisco descobriu que um dos exploits, apelidado de "EXTRABACON", contou com uma falha "zero-day" para afetar o código SNMP do seu software ASA.


A vulnerabilidade, rastreada como CVE-2016-6366 , permite que atacantes remotos forcem um sistema a recarregar ou executar um código arbitrário. A Cisco lançou correções para a maioria das principais versões do seu software ASA.


Outra façanha vazada pela Shadow-Brokers é chamado de "BENIGNCERTAIN" e ele atinge firewalls PIX, que não têm sido atualizados desde 2009 (nota: e não sou poucos, de acordo com pesquisa feita pela própria CISCO). A Cisco analisou o exploit e determinou que ela não afeta versões PIX 7.0 e posteriores. A empresa observou em 19 de agosto que não havia identificado quaisquer novas vulnerabilidades relacionadas com essa ameaça em produtos atuais.


Uma análise posterior revelou que a vulnerabilidade alavancado pelo BENIGNCERTAIN também afeta produtos rodando IOS, IOS XE e software IOS XR.


A falha de segurança, rastreada como CVE-2016-6415, existe no código de processamento de pacotes IKEv1 e permite que um atacante remoto não autenticado para recuperar o conteúdo da memória, o que poderia conter informações confidenciais.


"A vulnerabilidade é devido a verificações de condição insuficientes na parte do código que lida com solicitações de negociação de segurança IKEv1. Um invasor pode explorar esta vulnerabilidade enviando um pacote IKEv1 'trabalhado' a um dispositivo afetado e configurado para aceitar pedidos de negociação de segurança IKEv1", disse a Cisco em seu comunicado.


A vulnerabilidade afeta os Cisco IOS XR versões 4.3.x, 5.0.x, 5.1.x e 5.2.x - versões 5.3.0 e posteriores não são afetadas. Todos os lançamentos IOS XE e várias versões do IOS são afetados.


O gigante das redes confirmou que firewalls PIX e todos os produtos que executam versões afetadas do IOS, IOS XE e IOS XR, são afetadas se eles são configurados para usar IKEv1, mas a empresa ainda está trabalhando para determinar se outros produtos são afetados também.


A Cisco se comprometeu a liberar patches para CVE-2016-6415, mas não existem soluções alternativas. A empresa publicou indicadores de compromisso (COI) e aconselhou os clientes a usar IPS e soluções de IDS para evitar ataques.


"Esta vulnerabilidade só pode ser explorada pelo tráfego IKEv1, processado por um dispositivo configurado para IKEv1. O simples trânsito de tráfego IKEv1 não pode acionar esta vulnerabilidade. IKEv2 não é afetado ", disse a Cisco.

Destaques
Posts Recentes
Arquivo
Busca por Tags
Siga-nos
  • LinkedIn Social Icon
bottom of page