Cisco kwetsbaarheid – CVE-2016-6415

Cisco kwetsbaarheid – CVE-2016-6415

DearBytesAlertsCisco kwetsbaarheid – CVE-2016-6415

Wat is er aan de hand?

Cisco heeft een nieuwe kwetsbaarheid bekend gemaakt die is voortgekomen uit een publieke dump van de Equation Group (NSA). Deze kwetsbaarheid komt voort uit dezelfde tool, BENIGNCERTAIN, welke eerder een kwetsbaarheid in CISCO PIX misbruikte om VPN wachtwoorden te achterhalen. Deze nieuwe kwetsbaarheid maakt misbruik van de manier waarop IOS Internet Key Exchange version 1 (IKEv1) security negotiation requests afhandelt. Hierdoor is het voor derden mogelijk op afstand geheugen uit te lezen, om op deze manier gevoelige data als RSA Keys, VPN Keys en configuratie te verkrijgen.

De kwetsbaarheid heeft het unieke nummer CVE-2016-6415 gekregen.

Waarom is dit belangrijk?

Wanneer de aanvaller toegang heeft tot het geheugen kan vertrouwelijke informatie gelekt worden, bijvoorbeeld aan RSA private keys en informatie over de configuratie van het bewuste apparaat. Deze informatie kan gebruikt worden toegang te verkrijgen tot het apparaat, het VPN of achterliggende netwerk.

Op dit moment zijn er nog geen updates uitgebracht door Cisco. Ook is er geen workaround. Het advies is dus om, als u kwetsbare devices heeft, deze te monitoren. Hiervoor zijn de volgende IPS/IDS signatures uitgebracht:

  • Cisco IPS Signatures 7699-0
  • Snort SIDs 40220(1)
  • Snort SIDs 40221(1)
  • Snort SIDs 40222(1)

Cisco heeft inmiddels ook al aanvallen gedetecteerd die misbruik maken van deze kwetsbaarheid. Daarom adviseren wij deze update versneld uit te rollen, zodra deze beschikbaar komt.

Op wie is dit van toepassing?

Cisco apparaten die IOS, IOS XE of IOS XR gebruiken en een VPN aanbieden die gebruik maakt van IKEv1 zijn kwetsbaar. Houd er rekening mee dat sommige apparaten zowel via IPV4 als IPV6 benaderbaar zijn.

Cisco IOS XR Software : 4.3.x / 5.0.x / 5.1.x / 5.2.x, Versies nieuwer dan 5.3.x zijn niet kwetsbaar.

Cisco IOS XE Software : Alle versies kwetsbaar

Cisco IOS Software : een volledige lijst kunt u vinden via https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1

Wat doet DearBytes Managed Services?

Voor klanten waar DearBytes vulnerability management uitvoert, zal een inventarisatie gemaakt worden van kwetsbare systemen, zodra hiervoor een update van McAfee MVM beschikbaar is. Deze inventarisatie zal aan u gerapporteerd worden.

Voor klanten waar DearBytes het beheer voert over IPS of IDS technologie, zullen detectiescripts worden geactiveerd om misbruik van de kwetsbaarheid te herkennen, zodra deze beschikbaar zijn.

De klanten in kwestie zullen op individueel niveau nader worden geïnformeerd.

Bron:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1