(R1)思科多个路由器分散IKEv2数据包处理远程整数溢出

亚撒在开发一个插件测试思科设备,它发现额外的思科路由器配置了IKEv2容易受到远程溢出(cve - 2016 - 1287)。的思科咨询覆盖了亚撒的脆弱性没有提到任何非安全设备的影响。根据我们的测试,一些“常规”路由器很脆弱,这表明这可能是一个系统性问题的IOS代码库,并可能会影响任何思科设备,支持IKEv2(并且可能IKEv1)功能。

通过创建一个思科分散载荷132 (ID),小于7字节,路由器的远程攻击者可能会崩溃。经过进一步调查似乎正在测试的Cisco路由器也影响整数中描述下溢的bug出埃及记英特尔的“执行我的包”咨询。在ikev2_add_rcv_frag ()函数,接收到的片段的长度是不检查函数的开始,因为它是在一个修补ASA设备。

经过检查碎片ID和片段数量,以确保他们是正确的,收到的长度片段添加到IKEv2消息进行组装的长度,和片段片段添加到列表最后一个片段是收到时进行组装。在ikev2_get_assembled_pkt ()收到函数,当最后一个片段,开始组装的片段存储的函数ikev2_add_rcv_frag ()。它把所有的碎片有效载荷(与标题完全有效负载格式),计算每个碎片数据进行有效载荷的大小减去8(分散载荷大小头)片段长度,并将碎片的数据复制到一个装配缓冲区。

这似乎是《出埃及记》中描述的相同或非常相似的问题英特尔的顾问,和思科似乎没有补丁他们的路由器支持自己的碎片协议(132年载荷ID)。

基于测试和设备的访问,我们认为这可能会影响任何思科IOS设备支持IKEv2(甚至IKEv1)启用了碎片。远程拒绝服务确认时,站得住脚的没有做进一步测试远程代码执行的潜力,但我们不能排除,。