В середине августа 2016 года хакерская группа The Shadow Brokers обнародовала данные, похищенные у другой хак-группы Equation Group, чью деятельность напрямую связывают с АНБ. Вскоре подтвердилось, что The Shadow Brokers не лгали, а среди опубликованных ими файлов были эксплоиты, разработанные правительственными хакерами. Почти одновременно с этим представители компании Cisco предупредили, что опубликованные эксплоиты представляют угрозу для их продукции и сообщили об обнаружении 0-day уязвимости. Теперь компания предупредила об обнаружении еще одного 0-day бага, а также сообщила, что эксплоит уже взяли на вооружение хакеры.
Еще в августе специалисты Cisco и другие исследователи изучали дамп, опубликованный хакерами, и обнаружили, что эксплоит BENIGNCERTAIN предназначен для атак на брандмауэры PIX, поддержка для которых была прекращена еще в 2009 году. Представители Cisco писали, что эксплоит неопасен для PIX версии 7.0 и выше, и не обнаружили в продуктах компании никаких уязвимостей, связанных с данным инструментом.
Теперь выяснилось, что BENIGNCERTAIN эксплуатирует уязвимость CVE-2016-6415 и также опасен для IOS (4.3.x, 5.0.x, 5.1.x и 5.2.x; версии 5.3.0 и выше вне опасности), IOS XE (все версии) и IOS XR (все версии). Проблема заключается в том, как брандмауэры Cisco обрабатывают пакеты IKEv1. Проблема позволяет атакующему сформировать вредоносный IKEv1-пакет, послать его уязвимому файерволу и добраться до информации в памяти устройства, что позволит извлечь ключи RSA, VPN и прочие конфиденциальные данные.
Представители компании сообщили, что уже были зафиксированы попытки использования BENIGNCERTAIN в деле, то есть хакеры уже взяли инструмент на вооружение.
Патча для CVE-2016-6415 пока нет. Также разработчики Cisco сообщили, что временных способов защиты от проблемы не существует, и пообещали представить исправление как можно скорее.
Напомню, что ранее изучение дампа The Shadow Brokers показало, что опубликованные хакерами инструменты EXTRABACON, EPICBANANA и JETPLOW направлены на уязвимости в продукции Cisco. Сообщалось, что уязвима модельная линейка ASA, файерволы PIX и Cisco Firewall Services Modules. Эксплоиты были нацелены на старый баг CVE-2016-6367, исправленный еще в 2011 году, а также специалисты компании выявили 0-day уязвимость CVE-2016-6366. В августе 2016 разработчики Cisco представили соответствующие исправления.