En sårbarhed offentliggøres i dag gør det muligt for hackere at plante vedvarende bagdøre på Cisco gear, selv over Internettet, uden at få fysisk adgang til sårbare enheder.
Opkaldt Thrangrycat, sårbarhed påvirker Tillid Anker modul (TAm), en proprietær hardware security chip del af Cisco gear siden 2013.
Dette modul er, at Intel SGX svarende til Cisco enheder. TAm løber fra en ekstern hardware-isoleret komponent, der kryptografisk kontrollerer, at boot-loader, der indlæser og udfører på Cisco gear er autentisk.
Thrangrycat sårbarhed
Men sidste år, sikkerhed forskere fra Rød Ballon Sikkerhed har fundet en måde at angribe den TAm via en af de data streams, der kører ind og ud af den komponent, — ved at manipulere Field Programmable Gate Array (FPGA) bitstream.
Ændring af denne bitstream kræver root-adgang til enheden, hvilket betyder, at hackere kan bruge Thrangrycat sårbarhed til at ændre TAm, medmindre de allerede kompromitteret Cisco-enheder til kernen.
Under normale omstændigheder, er de fleste enheder vil være sikker. Men hvis en hacker kæder et sikkerhedshul, som giver dem mulighed for at få adgang til Cisco gear som root, så denne svaghed kommer i spil og bliver et stort problem for device ejere.
Cisco IOS-RCE
Desværre for alle Cisco-udstyr ejere, den samme Rød Ballon Security team har også opdaget en fjernkørsel af programkode fejl i web-grænsefladen i Cisco IOS XE software, der kører på Cisco-enheder, som kan bruges til at få root-adgang på Cisco-routere og switche.
Dette betyder, at ved at kombinere Thrangrycat (CVE-2019-1649) med denne fjernkørsel af programkode fejl (CVE-2019-1862), en angriber som ligger overalt på internettet kan tage over enheder, få root-adgang, og derefter deaktivere den TAm boot-proces kontrol, og endda forhindre fremtidige TAm sikkerhedsopdateringer fra at nå enheder.
Dette gør det muligt for angribere at ændre Cisco firmware og anlæg vedvarende bagdøre på målrettede enheder.
De fleste Cisco gear sandsynligvis påvirket
Forskere siger, at de kun testet denne sårbarhed med Cisco ASR 1001-X routere, men alle Cisco-enhed, der kører en FPGA-baserede TAm er sårbare.
Cisco frigivet sikkerhedsopdateringer til både sårbarheder tidligere i dag. Cisco Thrangrycat security advisory indeholder enheder Cisco mener, er påvirket, sammen med tilgængelige firmware patches.
Cisco security advisory for RCE-fejl i Cisco IOS XE web UI omfatter også en form, der lader enheden ejere se, om den version de kører er sårbare.
Cisco sagde, at det gjorde ikke finde nogen angreb, der udnytter disse to fejl. Ikke desto mindre, under hensyntagen til, at proof-of-concept kode til at vise begge fejl er tilgængelige i public domain-angreb er i sidste ende forventes at finde sted.
På en hjemmeside dedikeret til Thrangrycat sårbarhed, den Røde Ballon Sikkerhed holdet planlægger at præsentere et værktøj til at afsløre Thrangrycat angreb i August i år, på Black Hat 2019 sikkerhed konference.
Mere sårbarhed rapporter:
Dell laptops og computere sårbare over for ekstern hijacksSecurity fejl i 100+ Jenkins plugins sætte virksomhedens netværk på en risiko
Sikkerhedshul lader angribere gendanne private nøgler fra Qualcomm chipsNew Oracle WebLogic nul-dag opdagede i wildAlpine Linux Docker billeder skibet en root-konto med ingen passwordOver to millioner enheder, tingenes internet sårbare på grund af P2P-komponent flawsKRACK angreb: Her er hvordan virksomheder reagerer CNETTop 10 app sårbarheder: Unpatched plugins og udvidelser dominere TechRepublic
Relaterede Emner:
Cisco
Sikkerhed-TV
Data Management
CXO
Datacentre