NSA被攻后续第二弹：思科“叕”发现新0-day漏洞

大名鼎鼎的思科近期“叕”对其客户发出了关于另一个0-day漏洞的警告，该漏洞是从一个自称“影子经纪人”的黑客组织所披露的NSA（美国国家安全局）所使用的一些黑客工具和植入程序中发现的。

上个月，“影子经纪人”发布了一些防火墙攻击工具、植入程序和黑客工具，这一组织声称这些信息是从“方程式组织”窃取的，“方程式组织”是由NSA指派，专门以包括思科、Juniper和Fortinet在内的主要销售商为攻击对象。

一个叫做ExtraBacon的黑客工具利用了一个存在于思科的ASA产品软件的简单网络管理协议（SNMP）代码中的zero-day漏洞（CVE-2016-6366），该漏洞可使远程攻击者重启被入侵的系统或对其执行恶意代码。

现在思科已发现另一个叫做Benigncertain的利用0-day漏洞进行攻击的黑客工具，其以PIX防火墙产品为目标。

思科分析了这个黑客工具，并指出，在其目前的产品中尚未发现与此工具有关的任何新的漏洞。

但对Benigncertain的进一步分析显示，该工具还入侵了运行着IOS、IOS XE、和IOS XR软件的思科产品。

Benigncertain利用存在于IKEv1包处理代码中的CVE-2016-6415漏洞，思科的一些运行IOS操作系统的设备和所有PIX防火墙设备都受到该漏洞影响。

IKE（互联网密钥交换）是一个用于防火墙的协议，它可以提供虚拟专用网络（VPN），甚至用来管理一些工业控制系统。

一个未经授权的远程攻击者可以利用这一漏洞从网络通信中获取存储器中的内容，并能通过向目标设备发送经过特别处理的IKEv1包来取得如RSA私钥和配置信息等关键信息。

“该漏洞是由于处理IKEv1安全磋商请求的代码对条件检查不充分造成的。当目标设备被设置为可接受IKEv1安全磋商请求时，攻击者就可以通过向其发送经过特别处理的IKEv1包来进行攻击，”思科在其报告中提到。

思科的IOS XR操作系统的4.3.x、5.0.x、5.1.x、5.2.x版本，以及PIX防火墙的6.x和更早的版本，都受此漏洞影响，尽管该公司早已在2009年就不再对PIX产品提供技术支持了。

思科既未为此漏洞开发补丁，也未发布应急解决方案。

该公司说这一漏洞目前正遭受攻击，并建议其客户使用入侵检测系统（IDS）和入侵防御系统（IPS）来阻止这类攻击。、