cisco-zeroday

 

CISCO informa a sus consumidores de una nueva vulnerabilidad Zero-Day tras un análisis detallado de los productos afectados por los exploits de la reciente filtración de datos de la NSA.

 

El mes pasado “The Shadow Brokers” publicó 234Mb de información robada a “Equation Group“, un grupo de hackers supuestamente ligados a la NSA, que se centraban en las grandes marcas comerciales como CISCO, Juniper o Fortinet.

En el análisis se encontró un exploit llamado “ExtraBacon” que aprovechaba una vulnerabilidad Zero-Day (CVE-2016-6366) que residía en el código del protocolo SNMP del software de CISCO ASA,  y que permite a atacantes remotos provocar una recarga del sistema afectado o ejecutar código arbitrario. Cisco ha publicado parches de seguridad para la mayoría de las versiones afectadas.

 

La nueva vulnerabilidad Zero-Day encontrada se apoda “Benigncertain“, y se dirige a los cortafuegos PIX, que no tienen soporte desde 2009.  CISCO analizó el exploit y determinó que no afecta a las versiones 7.0 y posteriores. El 19 de agosto notificó que no había ningún producto más afectado, sin embargo, un análisis más detallado reveló que la vulnerabilidad aprovechada por “Benigncertain” también incumbe a los productos que  ejecutan IOS, IOS XE y el software IOS XR.

“Benigncertain” aprovecha la vulnerabilidad (CVE-2016-6415) que reside en el código de procesamiento de paquetes IKEv1 y afecta a varios dispositivos Cisco que ejecutan el sistema operativo IOS  y a todos los firewalls Cisco PIX.

IKE (Internet Key Exchange) es un protocolo utilizado para cortafuegos, proporcionar redes privadas virtuales (VPNs), e incluso gestionar sistemas de control industrial.

Un atacante remoto no autorizado podría utilizar esta vulnerabilidad para recuperar contenido de la memoria del tráfico y divulgar información crítica, como claves privadas RSA y la información de configuración mediante el envío de paquetes IKEv1 especialmente diseñados para los dispositivos afectados.

“La vulnerabilidad se debe a la insuficiencia de verificación en la parte del código que maneja las solicitudes de negociación de seguridad IKEv1. Un atacante podría aprovechar esta vulnerabilidad mediante el envío de un paquete IKEv1 diseñado para un dispositivo afectado configurado para aceptar solicitudes IKEv1 de negociación de seguridad ” Cita de Cisco en su aviso.

Cisco IOS XR con versiones del sistema operativo 4.3.x, 5.0.x, 5.1.x y 5.2.x, así como los cortafuegos PIX con versiones 6.x y anteriores, son vulnerables a esta falla.

El gigante de las redes ha confirmado que los cortafuegos PIX y todos los productos que ejecutan las versiones afectadas de IOS, IOS XE y IOS XR se ven vulnerables si están configurados para utilizar IKEv1, pero la compañía todavía está trabajando para determinar si otros productos se ven afectados también.

El vendedor dice que es consciente de los intentos de explotación en contra de algunos clientes que utilizan las plataformas afectadas.

Cisco ha prometido liberar parches de CVE-2016-6415, pero por ahora no hay alternativas. La compañía ha publicado los indicadores de compromiso (COI) y aconsejó a los clientes a utilizar soluciones IPS e IDS para prevenir los ataques.

 

Informacion adicional:  Equation Group (en inglés)

Fuentes:

Posts Relacionados

Comments

comments

Deja una respuesta

Tu email no será publicado. Los campos requeridos estan marcados con *
Puedes usar tags HTML y los atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">