NSA方程式组织被“影子经纪人”攻击后泄露出来的漏洞利用程序余威犹在，思科在进一步分析这些受影响产品后，发现了另一个零日漏洞0day漏洞并将该信息通报给了客户。该漏洞在CVE库中的ID为CVE-2016-6366，允许远程攻击者重载系统或执行任意代码。针对这个漏洞，思科为多数ASA软件主要版本提供了相关补丁。

CVE网站上对这个漏洞描述如下：

思科自适应安全设备 (ASA) 软件中的缓冲区溢出漏洞，使得远程验证的用户通过精心编制的 IPv4 SNMP 数据包，执行任意代码aka Bug ID CSCva92151 或 EXTRABACON 。

受影响产品包括：9.4.2.3 on ASA 5500, ASA 5500-X, ASA Services Module, ASA 1000V, ASAv, Firepower 9300 ASA Security Module, PIX, and FWSM devices

之前涉及思科产品的漏洞

八月中旬，影子经纪人声称从威胁源起方“方程式组织”（该组织据信与美国国家安全局有牵连）窃取了防火墙利用程序、植入程序与工具，并公布了其中约300M的数据。主流防火墙厂商分析了该数据泄露事件，思科发现其中一款名为“EXTRABACON”的利用程序利用某零日漏洞对ASA软件的SNMP代码造成威胁。

影子经纪人公布的另一款漏洞利用程序叫“BENIGNCERTAIN”，针对的是PIX防火墙（思科自2009年开始停止对该系列产品提供支持）。在分析了这款程序后，思科断定PIX 7.0及之后产品不受影响。8月19日，思科明确表示在现有产品中没有发现与此程序相关的新漏洞。

进一步分析该程序后，思科发现BENIGNCERTAIN所利用的漏洞还会影响搭载IOS、IOS XE及IOS XR软件的产品。

这个CVE-2016-6415安全漏洞存在于IKEv1报文处理代码中，允许未认证远程攻击者获取内存中的敏感信息。

“漏洞源于未充分检查用于处理IKEv1安全协商请求的代码。受影响设备若被配置接受IKEv1安全协商请求，攻击者则可通过向此设备发送构造的IKEv1报文来利用该漏洞。”思科在其安全公告中如是说。

漏洞影响的产品包括思科IOS XR 4.3.x、5.0.x、5.1.x及5.2.x，而5.3.0及以后版本不受影响；IOS XE所有版本及IOS各版本均受影响。

该网络产品巨头确认，PIX防火墙及运行受漏洞影响版本的IOS、IOS XE及IOS XR的所有产品在被配置使用IKEv1后，都会受到漏洞影响。公司目前还在确认是否有其他产品受到影响。

思科表示，已发现某些客户在使用受影响平台时遭到攻击。

思科承诺会针对CVE-2016-6415漏洞发布补丁，但目前还没有提供规避措施。公司已公布攻击指示器（IoC）,并建议客户使用IPS及IDS方案防护攻击。

思科声称：“只有当设备被配置处理IKEv1流量时，该漏洞才能被利用，转发的IKEv1流量不会触发该漏洞。此外，IKEv2不受影响。通过伪造报文利用该漏洞受以下条件限制：攻击者需能收到或获得漏洞设备的初始响应。”

方程式及影子经纪人近期相关文章包括

原文发布时间：2017年3月24日

本文由：csoonline 发布，版权归属于原作者

原文链接：http://toutiao.secjia.com/cisco-new-0day-vulnerability-extrabacon

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站