近日，名為“Shadow Brokers(影子經(jīng)紀(jì)人)”的黑客組織聲稱成功入侵了跟NSA相關(guān)的Equation Group(方程式組織)的計(jì)算機(jī)系統(tǒng)，并成功竊取到了大量的機(jī)密信息以及黑客工具。隨后，“Shadow Brokers”黑客組織將60%的泄漏文件在網(wǎng)上進(jìn)行了公布，其中就包含有針對多款網(wǎng)絡(luò)設(shè)備的漏洞利用代碼。

[[170783]]

據(jù)悉，目前Shadow Brokers已經(jīng)釋放了大約300Mb的防火墻漏洞利用、植入和工具代碼。而據(jù)安全公司和斯諾登泄露的文件顯示這些代碼是真實(shí)的，專家更指出，最近的文件可以追溯到2013年。

這些漏洞利用、植入和工具代碼專門針對Cisco、Fortinet、WatchGuard、Juniper Networks和其他供應(yīng)商的產(chǎn)品。這些公司都已經(jīng)對泄漏的代碼進(jìn)行了分析，但到目前為止，只有思科發(fā)現(xiàn)了一個(gè)之前未發(fā)現(xiàn)的漏洞(CVE-2016-6366，CNNVD編號為CNNVD- 201608-012)。

這個(gè)漏洞能夠影響思科自適應(yīng)安全設(shè)備(ASA)軟件的簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)代碼，擁有目標(biāo)系統(tǒng)訪問權(quán)限的遠(yuǎn)程攻擊者可以利用這個(gè)漏洞執(zhí)行任意代碼，并獲得設(shè)備的完全控制權(quán)。思科尚未發(fā)布一個(gè)安全漏洞的補(bǔ)丁，但它提供了一些解決方法。

泄露的CVE-2016-6366漏洞的利用代碼，被稱為“EXTRABACON”，已經(jīng)有幾年歷史了，所以只能在舊版本的ASA上正常工作。思科公司的安全專家表示已經(jīng)修復(fù)了這個(gè)漏洞，并且表示只要用戶運(yùn)行的是最新版本的思科軟件，那么他們就不會受到“Shadow Brokers”事件的影響。

然而， 研究人員近日證明了泄露的思科ASA漏洞利用也可以在新版本的軟件上進(jìn)行遠(yuǎn)程代碼執(zhí)行。

研究人員設(shè)法修改了泄露的ASA漏洞利用代碼，并將其應(yīng)用到了版本ASA 9.2(4)上，該版本于2015年7月發(fā)布。

此外，安全專家Balint Varga-Perke稱，泄露的漏洞利用代碼甚至可以應(yīng)用到更新的版本上。安全公司正在為目前不支持的思科ASA版本自動生成利用代碼。修改ASA漏洞利用代碼并將其應(yīng)用到版本ASA 9.2(4)只花費(fèi)了研究人員幾個(gè)小時(shí)。

“不幸的是，一些人只有在看到實(shí)際的演示之后才會認(rèn)識到漏洞的風(fēng)險(xiǎn)，”Varga-Perke在一封電子郵件中說到。“我們希望我們的開發(fā)也能夠讓那些持懷疑論的人們認(rèn)識到這些風(fēng)險(xiǎn)。”

根據(jù)思科針對CVE-2016-6366漏洞做出的安全公告，該漏洞影響所有ASA的軟件版本和所有支持SNMP的版本。當(dāng)供應(yīng)商在一個(gè)運(yùn)行版本9.4(1)的思科ASA 5506設(shè)備上測試泄露的漏洞利用代碼時(shí)，軟件崩潰了。

思科產(chǎn)品安全事件響應(yīng)團(tuán)隊(duì)的Omar Santos也證實(shí)，漏洞利用代碼經(jīng)過修改可以應(yīng)用到任何ASA代碼上。

目前還不清楚Shadow Brokers的幕后推手是誰。雖然有懷疑是俄羅斯黑客所為，但也有人認(rèn)為是一個(gè)國家安全局(NSA)內(nèi)部人員所為。