Thrangrycat漏洞使攻擊者可以在Cisco設(shè)備上植入持久后門

今天披露的一個漏洞使黑客可以在Cisco設(shè)備上植入持久的后門，甚至可以通過Internet，而無需物理訪問易受攻擊的設(shè)備。

自2013年以來，該漏洞名為Thrangrycat，該漏洞影響Trust Anchor模塊(TAm)，該模塊是Cisco設(shè)備專有的硬件安全芯片部分。

此模塊是與Cisco設(shè)備等效的Intel SGX。TAm從外部，硬件隔離的組件運行，該組件以密碼方式驗證在Cisco設(shè)備上加載并執(zhí)行的引導(dǎo)程序是真實的。

THRANGRYCAT漏洞

但是去年，來自Red Balloon Security的安全研究人員找到了一種方法，該方法可以通過操縱現(xiàn)場可編程門陣列(FPGA)比特流，通過在組件內(nèi)外運行的數(shù)據(jù)流之一來攻擊TAm。

修改此比特流要求對設(shè)備具有根訪問權(quán)限，這意味著除非黑客已將Cisco設(shè)備危害到核心，否則黑客可以使用Thrangrycat漏洞來修改TAm。

通常情況下，大多數(shù)設(shè)備都是安全的。但是，如果攻擊者鏈接了一個安全漏洞，使他們可以以root用戶身份訪問Cisco設(shè)備，那么此漏洞就會發(fā)揮作用，并成為設(shè)備所有者的大問題。

CISCO IOS RCE

不幸的是，對于所有思科設(shè)備所有者而言，同一個Red Balloon Security團(tuán)隊還發(fā)現(xiàn)了運行在思科設(shè)備上的Cisco IOS XE軟件的Web界面中的遠(yuǎn)程執(zhí)行代碼漏洞，該漏洞可用于獲得對思科路由器和交換機(jī)的根訪問權(quán)限。

這意味著通過將Thrangrycat(CVE-2019-1649)與此遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2019-1862)結(jié)合使用，位于Internet上任意位置的攻擊者可以接管設(shè)備，獲得root用戶訪問權(quán)限，然后禁用TAm啟動過程驗證，甚至阻止將來的TAm安全更新到達(dá)設(shè)備。

反過來，這又使攻擊者可以修改Cisco固件，并在目標(biāo)設(shè)備上植入持久的后門。

大多數(shù)思科設(shè)備可能受到影響

研究人員表示，他們僅使用Cisco ASR 1001-X路由器測試了此漏洞，但是任何運行基于FPGA的TAm的Cisco設(shè)備都容易受到攻擊。

思科今天早些時候發(fā)布了針對這兩個漏洞的安全更新。在思科Thrangrycat安全顧問名單設(shè)備思科認(rèn)為受到影響，與現(xiàn)有固件修補一起。

Cisco IOS XE Web UI中有關(guān)RCE錯誤的Cisco安全通報還包括一種表格，該表格使設(shè)備所有者可以查看他們正在運行的版本是否容易受到攻擊。

思科表示，沒有發(fā)現(xiàn)利用這兩個漏洞的任何攻擊。盡管如此，考慮到可以證明這兩個缺陷的概念證明代碼已經(jīng)在公共領(lǐng)域提供，因此最終有望發(fā)生攻擊。

在專門針對Thrangrycat漏洞的網(wǎng)站上，紅氣球安全團(tuán)隊表示計劃在今年8月的Black Hat 2019安全會議上展示一種檢測Thrangrycat攻擊的工具。