シスコは CISCO-SA-20160916-IKEV1セキュリティ通知を発行しました 。これは、シャドウブローカーアーカイブからのシスコ製品における別の0day脆弱性の存在を確認します 。 情報開示の脆弱性は、CVE-2016-6415( 複数のシスコ製品におけるIKEv1情報開示の脆弱性 )によって特定され、Cisco IOS、IOS XE、およびIOS XR製品のInternet Key Exchangeバージョン1(IKEv1)プロトコルパケット処理コードに存在します。 この脆弱性を使用して、攻撃者は機密情報を使用してメモリのコンテンツにリモートアクセスできます。 他の同様の脆弱性の場合と同様に、特別に細工されたIKEv1ネットワークパケットを脆弱なデバイスに送信することにより、CVE-2016-6415の悪用が可能です。
脆弱性(BENIGNCERTAIN)は、IKEv1プロトコルを使用するように構成され、セキュリティネゴシエーション要求を受け入れることができる場合にのみ、デバイスに関連します。 攻撃者はその助けを借りて、デバイスのメモリからRSA秘密暗号化キーを抽出できます。
次のCisco IOS XR製品バージョンは、この脆弱性の影響を受けます。
- Cisco IOS XR 4.3.x
- Cisco IOS XR 5.0.x
- Cisco IOS XR 5.1.x
- Cisco IOS XR 5.2.x
バージョン5.3.x以降は、この脆弱性の影響を受けません。
脆弱性は、すべてのシスコ製品およびPIXハードウェアファイアウォールを含む、Cisco IOS XEソフトウェアのすべてのバージョンの影響を受けます。
IKEには個別のUDPポートが割り当てられ、そのオープン性はそのアクティビティを示します:500、4500、848、4848。次の例では、デバイスはIPv4またはIPv6ネットワークプロトコルを使用して、番号500および4500のポートへのIKEパケットを処理します。
Cisco IOSデバイスの場合、次のコマンドを使用して、IKEがすでにデバイス構成に含まれていることを確認できます。 コマンドの出力に次の構成が存在することは、IKEアクティビティを示しています: 暗号マップ 、 トンネル保護ipsec 、または暗号gdoi 。
脆弱性は、標的型攻撃の攻撃者によってすでに悪用されています。
Cisco Product Security Incident Response Team(PSIRT)は、影響を受けるプラットフォームを実行している一部のシスコのお客様に対する脆弱性の悪用を認識しています。
この脆弱性に関する更新プログラムはまだリリースされていません。
以下は、Equation Groupのエクスプロイトに対するESET AV製品の検出の表です。
» 有名なサイバーグループEquation Groupは大規模なハッキングを受ける可能性があります
» エリートサイバーグループ化方程式グループから公開されたデータは冗談ではありませんでした
» シスコとフォーティネットは、Equation Groupのデータ漏洩後にセキュリティ通知をリリースします
SnowdenのドキュメントはShadow Brokersのデータの有効性を確認します