Een kwetsbaarheid bekendgemaakt vandaag laat hackers te planten aanhoudende backdoors op Cisco versnelling, zelfs via het Internet, zonder fysieke toegang tot kwetsbare apparaten.
De naam Thrangrycat, de kwetsbaarheid, impact van de Trust Anchor module (TAm), een eigen hardware security chip onderdeel van Cisco versnelling sinds 2013.
Deze module is de Intel SGX equivalent voor Cisco-apparaten. Het TAm wordt uitgevoerd door een externe, hardware-geïsoleerd onderdeel dat cryptografisch controleert dat de bootloader geladen en uitgevoerd op het gebied van Cisco gear is authentiek.
Thrangrycat kwetsbaarheid
Maar vorig jaar, security-onderzoekers van de Rode Ballon Veiligheid hebben een manier gevonden om de aanval van de TAm via een van de datastromen lopen in en uit van de component — door het manipuleren van de Field Programmable Gate Array (FPGA) bitstream.
Het wijzigen van deze bitstream vereist root toegang tot het apparaat, wat betekent dat hackers kunnen gebruik maken van de Thrangrycat kwetsbaarheid voor het wijzigen van de TAm, tenzij ze al aangetast Cisco-apparaten aan op de kern.
Onder normale omstandigheden, zijn de meeste apparaten veilig zou zijn. Echter, als een aanvaller ketens een lek waarmee ze toegang krijgen tot Cisco toestel als root, dan is deze kwetsbaarheid komt in het spel en wordt het een groot probleem voor device eigenaren.
De Cisco IOS-RCE
Helaas voor alle Cisco-apparaat eigenaren, dezelfde Rode Ballon Security team ontdekte ook een uitvoering van externe code fout in de web-interface van de Cisco IOS-XE software die draait op de Cisco-apparaten, die kan worden gebruikt om te krijgen root-toegang op Cisco routers en switches.
Dit betekent dat door het combineren van Thrangrycat (CVE-2019-1649) met deze uitvoering van externe code-lek (CVE-2019-1862), een aanvaller zich overal op het internet kan overnemen apparaten, krijgen root-toegang, en schakel vervolgens de TAm-boot-proces controle, en zelfs het voorkomen van toekomstige TAm security updates van het bereiken van apparaten.
Dit, op zijn beurt, biedt aanvallers de mogelijkheid tot het wijzigen van Cisco firmware en plant aanhoudende backdoors op de beoogde apparaten.
De meeste Cisco gear waarschijnlijk beïnvloed
De onderzoekers zeiden dat ze alleen getest voor deze kwetsbaarheid met Cisco ASR-1001-X routers, maar een Cisco-apparaat met een FPGA-gebaseerde TAm is kwetsbaar.
Cisco heeft beveiligingsupdates uitgebracht voor zowel kwetsbaarheden eerder vandaag. De Cisco Thrangrycat beveiligingsadvies geeft een overzicht van apparaten van Cisco gelooft dat zijn beïnvloed, samen met de beschikbare firmware-patches.
De Cisco security advisory voor de RCE bug in de Cisco IOS-XE-web-GEBRUIKERSINTERFACE bevat ook een formulier waarmee apparaat eigenaren zien als de versie die ze draaien is kwetsbaar.
Cisco zei dat het niet detecteren van aanvallen die misbruik maken van deze twee fouten. Niettemin, rekening houdend met dat de proof-of-concept code te tonen beide fouten is beschikbaar in het publieke domein, aanvallen uiteindelijk worden verwacht plaats te hebben.
Op een website gewijd aan de Thrangrycat kwetsbaarheid, de Rode Ballon Security team zei plan om een hulpprogramma voor het opsporen van Thrangrycat aanvallen in augustus van dit jaar op de Zwarte Hoed 2019 security conference.
Meer kwetsbaarheid rapporten:
Dell-laptops en computers kwetsbaar voor externe hijacksSecurity gebreken in 100+ Jenkins plugins zetten enterprise netwerken in gevaar
Lek stelt aanvallers herstellen van de private sleutels van Qualcomm chipsNew Oracle WebLogic zero-day ontdekt in de wildAlpine Linux Docker beelden schip een root account met geen passwordOver twee miljoen IoT apparaten kwetsbaar omdat het P2P-component flawsKRACK aanval: Hier is hoe bedrijven reageren CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Cisco
Beveiliging TV
Data Management
CXO
Datacenters