Cisco ASAのSNMP処理にゼロデイ脆弱性「EXTRABACON」

また同脆弱性の検証を行ったラックでは、同製品が脆弱性によりクラッシュしたり、リモートログイン認証の無効化を行えることを実際に確認したという。

同社ではSNMPが「UDPプロトコル」を用いており、送信元のIPアドレスを容易に偽装できる点を挙げ、IPアドレスによる制限だけでなく、SNMPパケットそのものが、脆弱性が存在する製品へ到達しないよう対策を講じる必要性について言及している。

今回の脆弱性は、「Shadow Brokers」を名乗る攻撃グループにより公表されたもので、同グループがNSAと関連が深いとの指摘があるサイバー攻撃グループ「Equation Group」をクラッキングし、取得したと主張。同グループでは、「CVE-2016-6366」を別名「EXTRABACON」と名付けられていた。

さらに「ASAソフトウェア」には、別名「EPICBANANA」と呼ばれる「CVE-2016-6367」も判明している。攻撃には認証が必要でローカルより攻撃の必要があるほか、影響を受けるのは2012年にリリースされた「同8.4（3）」より前のバージョンとしている。

「Equation Group」に関しては、また難度が非常に高く、開発予算が非常に高いと見られるツールを利用し、世界30カ国の組織を攻撃を攻撃したとの報告があるほか、以前から「Stuxnet」や「Flame」の関連グループとも関係し、これらグループよりも早い段階でゼロデイ脆弱性を利用していたことがこれまでもカスペルスキーによって指摘されている。

（Security NEXT - 2016/08/24 ） ツイート

PR

関連記事

Gitサーバ「Gogs」にゼロデイ脆弱性 - 広範囲の公開サーバに侵害痕跡
「React」脆弱性を狙う攻撃が急増、国内SOCで多数観測 - ラック
「Chrome」にゼロデイ脆弱性、詳細は調整中 - アップデートで修正
ワークフロー実行ツール「n8n」に脆弱性 - アップデートで修正
監視ツール「Barracuda RMM」に深刻な複数脆弱性 - アップデートを
「Apache Struts」にDoS脆弱性 - ディスク領域枯渇のおそれ
「Node.js」にセキュリティアップデート - 12月15日に公開予定
悪用確認された「WinRAR」「Windows」の脆弱性に注意喚起 - 米当局
エンドポイント管理製品「Ivanti EPM」に複数脆弱性 - 「クリティカル」も
「Adobe Acrobat/Reader」に複数脆弱性 - アップデートを公開