forum.opennet.ru

Составление сообщения

Исходное сообщение

"Серия уязвимостей в продуктах Cisco, выявленных после публик..."
Отправлено opennews, 22-Авг-16 10:57

Хакерская группа "Equation Group" опубликовала (http://xorcat.net/2016/08/16/equationgroup-tool-leak-extraba.../) архив, содержащий (https://musalbas.com/2016/08/16/equation-group-firewall-oper...) около 250 Мб файлов с различными эксплоитами и приложениями для совершения атак, по заявлению группы полученной в результате утечки информации из Агентства Национальной Безопасности США (АНБ). В основном эксплоиты направлены на создание закладок и совершение атак на оборудование Cisco PIX/ASA (https://blogs.cisco.com/security/shadow-brokers), Juniper Netscreen (http://forums.juniper.net/t5/Security-Incident-Response/Shad...) и Fortigate (http://fortiguard.com/advisory/FG-IR-16-023), как правило используя zero-day уязвиомости.

Несмотря на то, что эксплоиты в основном касаются устаревшего и выведенного из эксплуатации оборудования, некоторые проблемы оказались актуальными (https://blogs.cisco.com/security/shadow-brokers) и в настоящее время. В частности, по мотивам обнародованной информации компания Cisco устранила в своих продуктах несколько уязвимостей (https://tools.cisco.com/security/center/publicationListing.x...), позволяющих удалённо выполнить код на оборудовании Cisco. В том числе устранена критическая уязвимость (http://tools.cisco.com/security/center/content/CiscoSecurity...) (CVE-2016-1457), позволяющая получить доступ к интерфейсу Cisco Firepower Management Center и Cisco ASA 5500-X с сервисами FirePOWER с правами root без прохождения аутентификации через отправку специально оформленного HTTP-запроса. Другая проблема (https://tools.cisco.com/security/center/content/CiscoSecurit...) (CVE-2016-6366) в Cisco ASA, Cisco PIX и Cisco Firepower позволяет без авторизации выполнить код через отправку запроса по SNMP.

Что касается межсетевых экранов Cisco PIX, поддержка которых была прекращена в 2009 году, но которые по-прежнему применяются (https://www.shodan.io/search?query=cisco+4608) некоторыми отечественными провайдерами, в составе архива присутствовала (https://musalbas.com/2016/08/18/equation-group-benigncertain...) утилита benigncertain, позволяющая удалённо извлечь закрытый ключ для произвольного IPsec-соединения. Суть атаки сводится к эксплуатации уязвимости, позволяющей через отправку специально оформленного IKE-пакета инициировать выход за границы буфера и в составе ответа получить часть системной памяти, в том числе содержащей закрытые RSA-ключи и конфеденциальные настройки. Указанная уязвимость проясняет методы, используемые для проведения атак АНБ на VPN, упомянутые (https://www.opennet.ru/opennews/art.shtml?num=41356) в документах (https://www.opennet.ru/opennews/art.shtml?num=37846), несколько лет назад опубликованных Эдвардом Снойденом. По оценке компании Cisco, уязвимость присутствует только в версиях Cisco PIX до выпуска 7.0.

URL: http://arstechnica.com/security/2016/08/cisco-confirms-nsa-l.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=45013

Исходное сообщение
"Серия уязвимостей в продуктах Cisco, выявленных после публик..." Отправлено opennews, 22-Авг-16 10:57
Хакерская группа "Equation Group" опубликовала (http://xorcat.net/2016/08/16/equationgroup-tool-leak-extraba.../) архив, содержащий (https://musalbas.com/2016/08/16/equation-group-firewall-oper...) около 250 Мб файлов с различными эксплоитами и приложениями для совершения атак, по заявлению группы полученной в результате утечки информации из Агентства Национальной Безопасности США (АНБ). В основном эксплоиты направлены на создание закладок и совершение атак на оборудование Cisco PIX/ASA (https://blogs.cisco.com/security/shadow-brokers), Juniper Netscreen (http://forums.juniper.net/t5/Security-Incident-Response/Shad...) и Fortigate (http://fortiguard.com/advisory/FG-IR-16-023), как правило используя zero-day уязвиомости. Несмотря на то, что эксплоиты в основном касаются устаревшего и выведенного из эксплуатации оборудования, некоторые проблемы оказались актуальными (https://blogs.cisco.com/security/shadow-brokers) и в настоящее время. В частности, по мотивам обнародованной информации компания Cisco устранила в своих продуктах несколько уязвимостей (https://tools.cisco.com/security/center/publicationListing.x...), позволяющих удалённо выполнить код на оборудовании Cisco. В том числе устранена критическая уязвимость (http://tools.cisco.com/security/center/content/CiscoSecurity...) (CVE-2016-1457), позволяющая получить доступ к интерфейсу Cisco Firepower Management Center и Cisco ASA 5500-X с сервисами FirePOWER с правами root без прохождения аутентификации через отправку специально оформленного HTTP-запроса. Другая проблема (https://tools.cisco.com/security/center/content/CiscoSecurit...) (CVE-2016-6366) в Cisco ASA, Cisco PIX и Cisco Firepower позволяет без авторизации выполнить код через отправку запроса по SNMP. Что касается межсетевых экранов Cisco PIX, поддержка которых была прекращена в 2009 году, но которые по-прежнему применяются (https://www.shodan.io/search?query=cisco+4608) некоторыми отечественными провайдерами, в составе архива присутствовала (https://musalbas.com/2016/08/18/equation-group-benigncertain...) утилита benigncertain, позволяющая удалённо извлечь закрытый ключ для произвольного IPsec-соединения. Суть атаки сводится к эксплуатации уязвимости, позволяющей через отправку специально оформленного IKE-пакета инициировать выход за границы буфера и в составе ответа получить часть системной памяти, в том числе содержащей закрытые RSA-ключи и конфеденциальные настройки. Указанная уязвимость проясняет методы, используемые для проведения атак АНБ на VPN, упомянутые (https://www.opennet.ru/opennews/art.shtml?num=41356) в документах (https://www.opennet.ru/opennews/art.shtml?num=37846), несколько лет назад опубликованных Эдвардом Снойденом. По оценке компании Cisco, уязвимость присутствует только в версиях Cisco PIX до выпуска 7.0. URL: http://arstechnica.com/security/2016/08/cisco-confirms-nsa-l.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=45013

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Хакерская группа "Equation Group" опубликовала (http://xorcat.net/2016/08/16/equationgroup-tool-leak-extrabacon-demo/) 
> архив, содержащий (https://musalbas.com/2016/08/16/equation-group-firewall-operations-catalogue.html) 
> около 250 Мб файлов с различными эксплоитами и приложениями для совершения 
> атак, по заявлению группы полученной в результате утечки информации из Агентства 
> Национальной Безопасности США (АНБ). В основном эксплоиты направлены на создание закладок 
> и совершение атак на оборудование Cisco PIX/ASA (https://blogs.cisco.com/security/shadow-brokers), 
> Juniper Netscreen (http://forums.juniper.net/t5/Security-Incident-Response/Shadow-Brokers-Release-of-Hacking-Code/ba-p/296128) 
> и Fortigate (http://fortiguard.com/advisory/FG-IR-16-023), как правило используя zero-day 
> уязвиомости.

> Несмотря на то, что эксплоиты в основном касаются устаревшего и выведенного из 
> эксплуатации оборудования, некоторые проблемы оказались актуальными (https://blogs.cisco.com/security/shadow-brokers) 
> и в настоящее время. В частности, по мотивам обнародованной информации компания 
> Cisco устранила в своих продуктах несколько уязвимостей (https://tools.cisco.com/security/center/publicationListing.x?product=Cisco#~Vulnerabilities), 
> позволяющих удалённо выполнить код на оборудовании  Cisco. В том числе 
> устранена критическая уязвимость (http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-fmc) 
> (CVE-2016-1457), позволяющая получить доступ к интерфейсу Cisco Firepower Management 
> Center и Cisco ASA 5500-X с сервисами FirePOWER с правами root 
> без прохождения аутентификации через отправку специально оформленного HTTP-запроса. 
> Другая проблема (https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp) 
> (CVE-2016-6366) в Cisco ASA, Cisco PIX и Cisco Firepower  позволяет 
> без авторизации выполнить код через отправку запроса по SNMP.

> Что касается межсетевых экранов Cisco PIX, поддержка которых была прекращена в 2009 
> году, но которые по-прежнему применяются (https://www.shodan.io/search?query=cisco+4608) 
> некоторыми отечественными провайдерами, в составе архива присутствовала (https://musalbas.com/2016/08/18/equation-group-benigncertain.html) 
> утилита benigncertain, позволяющая удалённо извлечь закрытый ключ для произвольного IPsec-соединения. 
> Суть атаки сводится к эксплуатации уязвимости, позволяющей через отправку специально оформленного 
> IKE-пакета инициировать выход за границы буфера и в составе ответа получить 
> часть системной памяти, в том числе содержащей закрытые RSA-ключи и конфеденциальные 
> настройки. Указанная уязвимость проясняет методы, используемые для проведения атак АНБ 
> на VPN, упомянутые (https://www.opennet.ru/opennews/art.shtml?num=41356) в документах 
> (https://www.opennet.ru/opennews/art.shtml?num=37846), несколько лет назад опубликованных 
> Эдвардом Снойденом. По оценке компании Cisco, уязвимость присутствует только в версиях 
> Cisco PIX до выпуска 7.0.

> URL: http://arstechnica.com/security/2016/08/cisco-confirms-nsa-linked-zeroday-targeted-its-firewalls-for-years/ 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=45013

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру