轉發教育機構ANA通報平台公告－

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201609-0021
美國思科(Cisco)公司今年8月得知國際名為影子掮客(The Shadow Brokers)駭客團體所釋出的網路攻擊工具後，開始調查相關攻擊工具所利用的安全漏洞，於2016年9月16日公布發現一個波及Cisco IOS、Cisco IOS XE、Cisco IOS XR軟體及Cisco PIX防火牆的零時差漏洞(CVE-2016-6415)。

該漏洞主要是因為Cisco IOS、Cisco IOS XE、Cisco IOS XR軟體及Cisco PIX防火牆中，負責處理網路密鑰交換(Internet Key Exchange version 1，IKEv1)協商請求(Negotiation Requests)的程式碼未能充分的進行條件檢查，因此當遠端攻擊者發送一個惡意的IEKv1封包到可接受IEKv1協商請求的裝置上，便能獲取記憶體內容，進而導致裝置上的機敏資訊外洩。


影響平台:

1.Cisco PIX Firewall：

-5.2(9)至6.3(4)(含)版

2.Cisco IOS：

-12.2至12.4(含)版

-15.0至15.6(含)版

3.Cisco IOS XE：

-3.1S版

-3.2S版

-3.3S版、3.3SG版、3.3XO版

-3.4S版、3.4SG版

-3.5E版、3.5S版

-3.6E版、3.6S版

-3.7E版、3.7S版

-3.8E版、3.8S版

-3.9E版、3.9S版

-3.12S至3.18S(含)版

-16.1至16.3(含)版

4.Cisco IOS XR：

-所有4.3.x(含)版

-所有5.0.x(含)版

-所有5.1.x(含)版

-所有5.2.x(含)版


建議措施:

請聯絡設備維護廠商或利用「show version」指令確認當前使用的軟體版本，若版本為受影響之Cisco IOS、Cisco IOS XE、Cisco IOS XR軟體版本，則請參考以下建議資訊：

1.目前因Cisco官方尚未針對Cisco IOS、Cisco IOS XE、Cisco IOS XR釋出修復版本，所以仍請密切注意Cisco官方網頁(https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1)之更新訊息。

2.使用Cisco官方網頁(https://toolscisco.com/security/center/viewIpsSignature.x?signatureId=7699&signatureSubId=0&softwareVersion=6.0&releaseVersion=S942)所提供的入侵防禦系統(IPS)特徵檔7699-0，或Sourcefire官方網頁(https://support.sourcefire.com/supplemental/sf-rules-2016-09-16-seu.html)所提供的Snort入侵規則檔SID 40220(1)、SID 40221(1)、SID 40222(1)，以協助偵測與阻止嘗試利用此漏洞之攻擊。

其它事項：

Cisco PIX Firewalls設備，因產品過舊，目前已無相關的修復程式。


參考資料:

1.http://www.ithome.com.tw/news/108639

2.http://www.securityfocus.com/bid/93003

3.http://thehackernews.com/2016/09/cisco-nsa-exploit.html

4.https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6415

5.https://tools.cisco.com/security/center/selectIOSVersion.x