良性类似的缺陷会影响各种思科网络设备

恩氏虫泄漏,一个 NSA利用 针对遗留的漏洞Cisco PIX防火墙,允许攻击者在VPN流量上窃听窃听,旨在搜索其他产品的类似缺陷– and they found one.

 祝福

CVE-2016-6415出现在处理IKEv1安全协商请求的代码中的条件下检查不足。

“IKE协议用于Internet协议安全性(IPSec)协议套件,以协商将用于加密或验证通信会话的加密属性,”该公司解释说。

缺陷会影响Cisco IOS,Cisco IOS XE和Cisco IOS XR软件,可以允许未经身份验证的远程攻击者检索内存内容。这可能导致攻击者提取解密密钥,并使用它们解密通过受影响设备的加密流量。

“攻击者可以在任何列出的UDP端口上使用IPv4或IPv6利用此漏洞,” they added. “此漏洞只能由配置为IKEv1配置的设备处理的IKEv1流量。 Transit IKEv1流量无法触发此漏洞。 ikev2不受影响。欺骗可以利用此漏洞的数据包是有限的,因为攻击者需要接收或可以访问易受攻击设备的初始响应。”

某些Cisco PIX防火墙中也存在该漏洞,自2009年以来尚未得到支持。

如果你’使用运行其中一个上述软件的思科设备,查看 安全咨询 看你的版本是否’RE运行很脆弱,并经常检查以查看思科何时提供软件更新以解决它。

思科指出,没有解决方案来解决缺陷,并指出其产品安全事件响应团队是“意识到利用运行受影响平台的一些思科客户的漏洞。”

在提供安全更新之前,建议受影响设备的管理员密切关注它们,并实施入侵防护和/或检测系统以发现剥削尝试。

“Cisco IPS签名7699-0和SNORT SIDS 40220(1),40221(1),40222(1)可以检测利用此漏洞的尝试,”公司的总结道。

分享这个