比雅虎泄露更嚴重！超85萬臺思科設備仍受“零日漏洞”影響

　　在雅虎遭遇史上最大規模的單一網站泄露事件后，黑客余弦曾評論：比起雅虎被泄露5億賬號信息來說，更值得關注的是 Cisco 相關設備在處理 IKEv1 數據包存在嚴重缺陷導致攻擊者可以直接遠程獲取內存里的隱私信息(這個過程類似兩年多前席卷全球的“心臟出血”)。

　　這個線索之前就在 NSA 方程式組織被泄露的利用代碼里躺著，代號為“BENIGNCERTAIN”(Cisco 認為這次漏洞類似“BENIGNCERTAIN”)，看來大家的警覺性還是比較滯后，估計是因為之前只覺得“BENGINCERTAIN”影響的是上古時代的 Cisco PIX 設備...

　　Shadowserver 團隊的這次深挖研究很贊。

　　思科公司最近承認了這一事實：網上有一個不具名的黑客團體發布了一款網絡攻擊套件，該攻擊套件此前被認為僅對印象舊款(已停產的)PIX固件產生影響，但現在發現它還波及其他新型號。

　　這款工具名為“BENINGCERTAIN”，于今年8月由一群名為The Shadow Brokers團體泄露，該團體還同時發布了數十款攻擊工具，他們聲稱這些都是從黑客組織方程式獲取，眾所周知，黑客組織方程式與NSA有著說不清道不明的關系。

　　BENINGCERTAIN從思科設備上提取VPN密鑰

　　據LulzSec黑客團體聯合創始人tFlow(即Mustafa AL-Bassam)的最初分析，有人可以利用BENINGCERTAIN來提取思科PIX 防火墻上的虛擬專用網(VPN)密鑰。

　　上周，也就是BENINGCERTAIN泄露一個月后，思科公司宣布，這款工具同樣影響當前運行IOS(即互聯網操作系統，思科公司為其網絡設備開發的操作維護系統)、IOS XE、IOS XR軟件的設備。

　　在softpedia發文時，依然沒有針對BENINGCERTAIN(Pix Pocket)的有效補丁發布。

　　研究者利用IKE固件發現受威脅設備

　　在技術層面上，漏洞CVE-2016-6415利用了思科防火墻固件中處理IKEv1和IKEv2(互聯網密鑰交換)數據包的一個漏洞。

　　在思科工程師的幫助下，Shadowserver基金對可能受到該漏洞威脅的思科設備進行了全網掃描。思科公司表示：

　　我們正在查詢所有通過專門制作的、帶有64比特ISAKMP數據包的、沒有互聯網防火墻的IPv4地址計算機，并捕獲它們的響應。

　　超85萬臺設備暴露在線上

　　根據Shadowserver基金在9月25日(00：12 GMT)發布的掃描結果，目前仍有850803臺受到該漏洞威脅的思科設備在線上，其中，超250000臺在美國，其他分布在俄羅斯、英國、德國、加拿大。

　　softpedia稱，因為大量設備的公開代碼可以在網上查到，所以極易遭受企業網絡攻擊。所以，此前思科公司建議，負責這些設備的網管最好把將設備置于防火墻后。