CERTFR-2016-ALE-007
Vulnerability from certfr_alerte

Une vulnérabilité a été découverte dans Cisco IOS, Cisco IOS XE et Cisco IOS XR. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données.

Contournement provisoire

Suite à la fuite de codes d'attaque attribués au groupe Equation le mois dernier, Cisco a enquêté pour déterminer si d'autres de ses produits sont vulnérables à des attaques similaires.
Il s'avère que plusieurs produits peuvent être exploités par une méthode semblable à BENIGNCERTAIN, qui permet à un attaquant d'accéder à des portions de mémoire, dans l'espoir de découvrir des secrets (clés privées, mots de passe...)
Ici, une vulnérabilité dans le code de traitement des paquets IKEv1 de Cisco IOS, IOS XE et IOS XR permet à un attaquant non authentifié de récupérer des portions de mémoire, et ce à distance.
Cisco indique qu'il n'existe pour l'instant pas de mitigations et que cette vulnérabilité est activement exploitée chez certains de ses clients.
Cisco fourni des règles de détection, cependant celles-ci sont soumises à abonnement.
Le CERT-FR recommande l'application des correctifs de sécurité dans les cas où ceux-ci sont disponibles. Sinon, les tunnels IPsec établis sur des systèmes affectés doivent être considérés comme non sécurisés.

None
Impacted products
Vendor Product Description
Cisco N/A Cisco IOS, voir sur le site du constructeur pour vérifier si votre système est vulnérable (cf. section Documentation)
Cisco IOS XR Cisco IOS XR versions 5.0.x
Cisco IOS XR Cisco IOS XR versions 5.2.x
Cisco IOS XR Cisco IOS XR versions 5.1.x
Cisco IOS XR Cisco IOS XR versions 4.3.x
Cisco IOS XE Cisco IOS XE toutes versions
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Cisco IOS, voir sur le site du constructeur pour v\u00e9rifier si votre syst\u00e8me est vuln\u00e9rable (cf. section Documentation)",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Cisco IOS XR versions 5.0.x",
      "product": {
        "name": "IOS XR",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Cisco IOS XR versions 5.2.x",
      "product": {
        "name": "IOS XR",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Cisco IOS XR versions 5.1.x",
      "product": {
        "name": "IOS XR",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Cisco IOS XR versions 4.3.x",
      "product": {
        "name": "IOS XR",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Cisco IOS XE toutes versions",
      "product": {
        "name": "IOS XE",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2017-09-29",
  "content": "## Contournement provisoire\n\nSuite \u00e0 la fuite de codes d\u0027attaque attribu\u00e9s au groupe Equation le mois\ndernier, Cisco a enqu\u00eat\u00e9 pour d\u00e9terminer si d\u0027autres de ses produits\nsont vuln\u00e9rables \u00e0 des attaques similaires.  \nIl s\u0027av\u00e8re que plusieurs produits peuvent \u00eatre exploit\u00e9s par une m\u00e9thode\nsemblable \u00e0 BENIGNCERTAIN, qui permet \u00e0 un attaquant d\u0027acc\u00e9der \u00e0 des\nportions de m\u00e9moire, dans l\u0027espoir de d\u00e9couvrir des secrets (cl\u00e9s\npriv\u00e9es, mots de passe...)  \nIci, une vuln\u00e9rabilit\u00e9 dans le code de traitement des paquets IKEv1 de\nCisco IOS, IOS XE et IOS XR permet \u00e0 un attaquant non authentifi\u00e9 de\nr\u00e9cup\u00e9rer des portions de m\u00e9moire, et ce \u00e0 distance.  \nCisco indique qu\u0027il n\u0027existe pour l\u0027instant pas de mitigations et que\ncette vuln\u00e9rabilit\u00e9 est activement exploit\u00e9e chez certains de ses\nclients.  \nCisco fourni des r\u00e8gles de d\u00e9tection, cependant celles-ci sont soumises\n\u00e0 abonnement.  \nLe CERT-FR recommande l\u0027application des correctifs de s\u00e9curit\u00e9 dans les\ncas o\u00f9 ceux-ci sont disponibles. Sinon, les tunnels IPsec \u00e9tablis sur\ndes syst\u00e8mes affect\u00e9s doivent \u00eatre consid\u00e9r\u00e9s comme non s\u00e9curis\u00e9s.\n",
  "cves": [
    {
      "name": "CVE-2016-6415",
      "url": "https://www.cve.org/CVERecord?id=CVE-2016-6415"
    }
  ],
  "initial_release_date": "2016-09-19T00:00:00",
  "last_revision_date": "2016-09-19T00:00:00",
  "links": [],
  "reference": "CERTFR-2016-ALE-007",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2016-09-19T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans \u003cspan class=\"textit\"\u003eCisco\nIOS\u003c/span\u003e, \u003cspan class=\"textit\"\u003eCisco IOS XE\u003c/span\u003e et \u003cspan\nclass=\"textit\"\u003eCisco IOS XR\u003c/span\u003e. Elle permet \u00e0 un attaquant de\nprovoquer une atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Cisco IOS, IOS XE et IOS XR",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Cisco cisco-sa-20160916-ikev1 du 16 septembre 2016",
      "url": "https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.