【資安】漏洞預警:Cisco IOS系列軟體與PIX防火牆存在零時差漏洞(CVE-2016-6415),可讓攻擊者遠端獲取記憶體內容,導致機敏資訊外洩。

[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201609-0021

美國思科(Cisco)公司今年8月得知國際名為影子掮客(The Shadow Brokers)駭客團體所釋出的網路攻擊工具後,開始調查相關攻擊工具所利用的安全漏洞,於2016年9月16日公布發現一個波及Cisco IOS、Cisco IOS XE、Cisco IOS XR軟體及Cisco PIX防火牆的零時差漏洞(CVE-2016-6415)。

該漏洞主要是因為Cisco IOS、Cisco IOS XE、Cisco IOS XR軟體及Cisco PIX防火牆中,負責處理網路密鑰交換(Internet Key Exchange version 1,IKEv1)協商請求(Negotiation Requests)的程式碼未能充分的進行條件檢查,因此當遠端攻擊者發送一個惡意的IEKv1封包到可接受IEKv1協商請求的裝置上,便能獲取記憶體內容,進而導致裝置上的機敏資訊外洩。

[影響平台:]
1.Cisco PIX Firewall:
-5.2(9)至6.3(4)(含)版

2.Cisco IOS:
-12.2至12.4(含)版
-15.0至15.6(含)版

3.Cisco IOS XE:
-3.1S版
-3.2S版
-3.3S版、3.3SG版、3.3XO版
-3.4S版、3.4SG版
-3.5E版、3.5S版
-3.6E版、3.6S版
-3.7E版、3.7S版
-3.8E版、3.8S版
-3.9E版、3.9S版
-3.12S至3.18S(含)版
-16.1至16.3(含)版

4.Cisco IOS XR:
-所有4.3.x(含)版
-所有5.0.x(含)版
-所有5.1.x(含)版
-所有5.2.x(含)版

[建議措施:]
請聯絡設備維護廠商或利用「show version」指令確認當前使用的軟體版本,若版本為受影響之Cisco IOS、Cisco IOS XE、Cisco IOS XR軟體版本,則請參考以下建議資訊:
1.目前因Cisco官方尚未針對Cisco IOS、Cisco IOS XE、Cisco IOS XR釋出修復版本,所以仍請密切注意Cisco官方網頁(
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1)之更新訊息。

2.使用Cisco官方網頁(https://toolscisco.com/security/center/viewIpsSignature.x?signatureId=7699&signatureSubId=0&softwareVersion=6.0&releaseVersion=S942)所提供的入侵防禦系統(IPS)特徵檔7699-0,或Sourcefire官方網頁(https://support.sourcefire.com/supplemental/sf-rules-2016-09-16-seu.html)所提供的Snort入侵規則檔SID 40220(1)、SID 40221(1)、SID 40222(1),以協助偵測與阻止嘗試利用此漏洞之攻擊。

其它事項:
Cisco PIX Firewalls設備,因產品過舊,目前已無相關的修復程式。

[參考資料:]
1.http://www.ithome.com.tw/news/108639

2.http://www.securityfocus.com/bid/93003
3.http://thehackernews.com/2016/09/cisco-nsa-exploit.html
4.https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6415
5.https://tools.cisco.com/security/center/selectIOSVersion.x