Cisco encontra falhas baseadas nos vazamentos da Shadow Brokers
Em meados de agosto, a Shadow-Brokers vazou cerca de 300Mb de exploits de firewall, implantes e instrumentos supostamente roubados do grupo "Equation Group" da NSA.
Os principais fornecedores de firewall analisaram o vazamento e a Cisco descobriu que um dos exploits, apelidado de "EXTRABACON", contou com uma falha "zero-day" para afetar o código SNMP do seu software ASA.
A vulnerabilidade, rastreada como CVE-2016-6366 , permite que atacantes remotos forcem um sistema a recarregar ou executar um código arbitrário. A Cisco lançou correções para a maioria das principais versões do seu software ASA.
Outra façanha vazada pela Shadow-Brokers é chamado de "BENIGNCERTAIN" e ele atinge firewalls PIX, que não têm sido atualizados desde 2009 (nota: e não sou poucos, de acordo com pesquisa feita pela própria CISCO). A Cisco analisou o exploit e determinou que ela não afeta versões PIX 7.0 e posteriores. A empresa observou em 19 de agosto que não havia identificado quaisquer novas vulnerabilidades relacionadas com essa ameaça em produtos atuais.
Uma análise posterior revelou que a vulnerabilidade alavancado pelo BENIGNCERTAIN também afeta produtos rodando IOS, IOS XE e software IOS XR.
A falha de segurança, rastreada como CVE-2016-6415, existe no código de processamento de pacotes IKEv1 e permite que um atacante remoto não autenticado para recuperar o conteúdo da memória, o que poderia conter informações confidenciais.
"A vulnerabilidade é devido a verificações de condição insuficientes na parte do código que lida com solicitações de negociação de segurança IKEv1. Um invasor pode explorar esta vulnerabilidade enviando um pacote IKEv1 'trabalhado' a um dispositivo afetado e configurado para aceitar pedidos de negociação de segurança IKEv1", disse a Cisco em seu comunicado.
A vulnerabilidade afeta os Cisco IOS XR versões 4.3.x, 5.0.x, 5.1.x e 5.2.x - versões 5.3.0 e posteriores não são afetadas. Todos os lançamentos IOS XE e várias versões do IOS são afetados.
O gigante das redes confirmou que firewalls PIX e todos os produtos que executam versões afetadas do IOS, IOS XE e IOS XR, são afetadas se eles são configurados para usar IKEv1, mas a empresa ainda está trabalhando para determinar se outros produtos são afetados também.
A Cisco se comprometeu a liberar patches para CVE-2016-6415, mas não existem soluções alternativas. A empresa publicou indicadores de compromisso (COI) e aconselhou os clientes a usar IPS e soluções de IDS para evitar ataques.
"Esta vulnerabilidade só pode ser explorada pelo tráfego IKEv1, processado por um dispositivo configurado para IKEv1. O simples trânsito de tráfego IKEv1 não pode acionar esta vulnerabilidade. IKEv2 não é afetado ", disse a Cisco.
