Benigncertain – Lỗ hổng Zero-Day mới có liên quan đến NSA Hackers

By | 4:21 pm | 23/10/2016

Mới đây, Cisco đã tiến hành phân tích một lỗ hổng Zero-Day với mục tiêu tấn công là tường lửa firewall PIX, có tên là “Benigncertain”, và đưa ra kết luận là các sản phẩm hiện tại của Cisco không có bất kỳ sai sót nào liên quan đến lỗ hổng này.

cisco-IOS-XETuy nhiên, phân tích sâu hơn của Benigncertain tiết lộ rằng lỗ hổng này cũng ảnh hưởng đến sản phẩm của Cisco chạy IOS, IOS XE IOS XR.

  • Benigncertain thừa hưởng  lỗ hổng (CVE-2016-6415) trong giao thức IKEv1 ảnh hưởng tới nhiều thiết bị Cisco chạy hệ điều hành IOS và tất cả các tường lửa Cisco PIX.
  • IKE (Internet Key Exchange) là một giao thức được sử dụng cho các tường lửa, cung cấp mạng riêng ảo (VPN), thậm chí là quản lý các hệ thống điều khiển công nghiệp.
  • Với các thiết bị bị ảnh hưởng, kẻ tấn công có thể lợi dụng lỗ hổng này để tấn công từ xa nhằm lấy cắp các dữ liệu từ lưu lượng mạng và tiết lộ những thông tin quan trọng như khóa bí mật RSA cũng như các thông tin cấu hình, bằng cách gửi đến các gói tin IKEv1 đặc biệt.

Cisco cho rằng: “Lỗ hổng này là do thiếu điều kiện kiểm tra trong phần code xử lý đàm phán IKEv1. Một kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một gói tin IKEv1 đặc biệt đến 1 thiết bị bị ảnh hưởng, nhằm làm cho qúa trình đàm phán IKEv1 được chấp nhận.”

Các phiên bản XR hệ điều hành IOS của Cisco 4.3.x, 5.0.x, 5.1.x và 5.2.x, cũng như tường lửa PIX phiên bản 6.x và trước đó đều rất dễ bị lỗ hổng này, mặc dù công ty đã không hỗ trợ PIX kể từ năm 2009.

Cisco cho biết lỗ hổng này đang được khai thác, và họ tư vấn cho khách hàng sử dung hệ thống phát hiện xâm nhập (IDS) và các hệ thống phòng chống xâm nhập (IPS) để giúp ngăn chặn các cuộc tấn công.

Cisco hứa rằng sẽ phát hành bản cập nhật để vá CVE-2016-6415, nhưng không rõ là bao giờ.

Theo The Hacker News.