CVE-2019-1649 es una vulnerabilidad grave en los productos de Cisco. También conocido como Thrangrycat, el exploit podría permitir a atacantes implantan puerta trasera persistente en una amplia gama de dispositivos en las redes empresariales y gubernamentales. Los dispositivos pueden ser enrutadores, interruptores, y servidores de seguridad que soportar un módulo de anclaje de confianza.
CVE-2019-1649 (Thrangrycat Exploit) Detalles Técnicos
De acuerdo a Seguridad globo rojo, los investigadores que descubrieron la falla, hay dos vulnerabilidades en dichos dispositivos que han sido dobladas Thrangrycat explotar. El primer fallo permite a un atacante eludir completamente el módulo de anclaje de confianza de Cisco (TAM) a través de Field Programmable Gate Arrays (FPGA) la manipulación de flujo de bits. El segundo defecto es una vulnerabilidad de inyección de comandos remoto que puede ser utilizado contra versión Cisco IOS XE 16 que permite la ejecución de código remoto como root:
Encadenando la hazaña con vulnerabilidades de inyección de mando a distancia, un atacante puede de forma remota y bypass mecanismo de arranque de seguridad persistente de Cisco y bloquear todas las futuras actualizaciones de software a la TAM, el asesor dijo.
¿Qué es el Módulo de ancla de confianza de Cisco
Es un módulo de seguridad de hardware propietario que se implementa en casi todos los dispositivos de la empresa Cisco desde 2013. El módulo asegura que el firmware que se ejecuta en plataformas de hardware es auténtico y no ha sido modificado.
Desafortunadamente, los investigadores Red Globo de seguridad se encontraron con varios defectos de diseño de hardware de los dispositivos mencionados que podrían permitir a los actores de amenaza no autenticados para realizar una modificación persistente para el módulo de anclaje de confianza mediante la modificación FPGA flujo de bits:
Un atacante con privilegios de root en el dispositivo puede modificar el contenido del flujo de bits de anclaje FPGA, que se almacena en la memoria flash sin protección. Los elementos de este flujo de bits se pueden modificar para desactivar la funcionalidad crítica en el TAM. modificación exitosa del flujo de bits es persistente, y el anclaje de confianza se desactivará en secuencias de inicio posteriores. También es posible bloquear las actualizaciones de software para flujo de bits de la TAM.
Mientras que los defectos se basan en el hardware, que pueden ser explotadas de forma remota sin necesidad de acceso físico. Dado que las fallas residen en el diseño de hardware, es poco probable que cualquier parche de seguridad de software va a resolver por completo el problema de seguridad fundamental, los investigadores dijeron. El exploit no parece haber sido explotado en la naturaleza, señalando que el peligro potencial es grave.
Los investigadores demostraron la vulnerabilidad de un enrutador Cisco ASR 1001-X, pero creen que la explotación de los impactos de un número de otros sistemas que también cuentan con implementaciones de TAM. Puesto que hay millones de unidades de Cisco que ejecutan Tam basado en FPGA en todo el mundo, la gama de dispositivos afectados es impensable.
El equipo informó de sus hallazgos en privado implican CVE-2019-1649 de Cisco en noviembre del año pasado. Los detalles acerca de sus hallazgos fueron parcialmente harán públicos después de que la compañía emitió parches de firmware hacer frente a los graves defectos.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: