Transcript bollettino it-cert.160927.b01

Computer Emergency Response Team
BOLLETTINO IT-CERT.160927.B01
Vulnerabilità di IKEv1 in software Cisco IOS
(CVE-2016-6415)
Doc.: IT-CERT.160927.B01
ver. 1.0 del 27/09/2016
Pagina 1 di 4
DESCRIZIONE
È stata scoperta una vulnerabilità di gravità elevata (CVE-2016-6415) nel codice che implementa la funzione
di gestione dei pacchetti Internet Key Exchange version 1 (IKEv1) inclusa nei prodotti software Cisco IOS,
Cisco IOS XE e Cisco IOS XR.
Cisco IOS è un sistema operativo per dispositivi di rete che equipaggia tutti i router e la maggior parte degli
switch prodotti da Cisco Systems.
La vulnerabilità è legata ad un’insufficiente controllo condizionale nella porzione di codice che gestisce le
richieste di negoziazione dei parametri di sicurezza del protocollo IKEv1. Un attaccante remoto non
autenticato potrebbe sfruttare questa vulnerabilità inviando un pacchetto IKEv1 appositamente
predisposto ad un dispositivo vulnerabile configurato per accettare richieste di negoziazione IKEv1. Se
sfruttata con successo, questa vulnerabilità potrebbe consentire all’attaccante di accedere al contenuto
della memoria, con conseguente potenziale divulgazione di informazioni riservate.
Un exploit per questa vulnerabilità è disponibile pubblicamente. Cisco è al corrente di alcuni casi di
sfruttamento di questa vulnerabilità in attacchi reali.
Cisco sta ancora investigando su questa vulnerabilità e rilascerà aggiornamenti software che risolvono la
vulnerabilità nei prodotti affetti. Non sono disponibili soluzioni alternative per mitigare questa
vulnerabilità.
SOLUZIONE
Nell’attesa della pubblicazione da parte del produttore di aggiornamenti che risolvano la vulnerabilità
descritta in questo bollettino nei prodotti affetti, si raccomanda ai gestori di prodotti Cisco equipaggiati con
sistemi operativi Cisco IOS, Cisco IOS XE o Cisco IOS XR di prendere visione del relativo bollettino di
sicurezza di Cisco (si veda la sezione LINK UTILI) e di verificare la configurazione di IKE sui propri dispositivi.
SISTEMI
Un elenco completo delle versioni dei prodotti Cisco IOS, Cisco IOS XE e Cisco IOS XR affetti dalla
vulnerabilità CVE-2016-6415 è contenuto nel relativo bollettino di sicurezza di Cisco (si veda la sezione LINK
UTILI).
Risultano affetti da questa vulnerabilità i seguenti dispositivi Cisco configurati per l’uso di IKEv1:




Tutti i dispositivi Cisco equipaggiati con una versione vulnerabile di Cisco IOS
Tutti i dispositivi Cisco equipaggiati con una versione vulnerabile di Cisco IOS XE
Tutti i dispositivi Cisco equipaggiati con una versione vulnerabile di Cisco IOS XR
I firewall Cisco PIX
Si noti che i dispositivi Cisco equipaggiati con Cisco IOS o Cisco IOS XE risultano vulnerabili se configurati per
l’uso di IKEv1 o IKE v2.
Doc.: IT-CERT.160927.B01
ver. 1.0 del 27/09/2016
Pagina 2 di 4
LINK UTILI
Avviso del produttore
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1
Mitre CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6415
Doc.: IT-CERT.160927.B01
ver. 1.0 del 27/09/2016
Pagina 3 di 4
VALUTAZIONE CVSS
Relativamente alla valutazione della severity come metrica di base - da intendersi quale livello di
pericolosità della vulnerabilità delle componenti di sistema o delle piattaforme - il CERT Nazionale valuta i
parametri che concorrono al calcolo della Base Score secondo lo standard CVSS v.2 (Common Vulnerabilities
Scoring System), avvalendosi del tool messo a disposizione dal sito del NIST (http://nvd.nist.gov/cvss.cfm).
Nello specifico, sulla base di informazioni preliminari soggette ad aggiornamento, sono stati raggiunti i
seguenti punteggi su una scala da 0 a 10.



CVSS Base Score 7,8
Impact Subscore 6,9
Exploitability Subscore 10,0
NOTE
Le informazioni contenute nel presente bollettino sono fornite a meri fini informativi.
In nessun caso il CERT Nazionale può essere ritenuto responsabile di qualunque perdita, pregiudizio,
responsabilità, costo, onere o spesa, ivi comprese le eventuali spese legali, danno diretto, indiretto,
incidentale o consequenziale, derivante da o connesso alle informazioni riportate nel presente bollettino.
La versione PDF del bollettino è statica ed, in quanto tale, contiene le informazioni disponibili al momento
della pubblicazione.
Doc.: IT-CERT.160927.B01
ver. 1.0 del 27/09/2016
Pagina 4 di 4