CVE-2019-1649 est une grande vulnérabilité dans les produits Cisco. Aussi surnommé Thrangrycat, l'exploit pourrait permettre à des attaquants d'implanter backdoor persistant sur une large gamme de périphériques dans les réseaux d'entreprise et du gouvernement. Les appareils peuvent être des routeurs, commutateurs, et pare-feu qui prennent en charge le module d'affectation spéciale Anchor.
CVE-2019-1649 (Thrangrycat Exploit) Détails techniques
Selon Sécurité Ballon rouge, les chercheurs qui ont découvert la faille, il y a deux vulnérabilités dans lesdits dispositifs qui ont été surnommés Thrangrycat exploiter. La première faille permet à un attaquant de contourner totalement confiance module d'ancrage de Cisco (Tâm) via Field Programmable Gate Array (FPGA) manipulation bitstream. La seconde faille est une vulnérabilité d'injection de commande à distance qui peut être utilisé de la version Cisco IOS XE 16 qui permet l'exécution de code à distance en tant que root:
En enchaînant les exploiteront avec des vulnérabilités d'injection de commande à distance, un attaquant peut contourner à distance et persistante mécanisme de démarrage sécurisé de Cisco et verrouiller toutes les mises à jour logicielles futures du tam, le dit consultatif.
Qu'est-ce que le module Anchor confiance de Cisco
Il est un module de sécurité matériel propriétaire qui est mis en œuvre dans presque tous les appareils de l'entreprise Cisco depuis 2013. Le module assure que le firmware en cours d'exécution sur des plateformes matérielles est authentique et n'a pas été modifié.
Malheureusement, les chercheurs de sécurité Ballon Rouge ont rencontré plusieurs défauts de conception du matériel dans les dispositifs mentionnés qui pourraient permettre aux acteurs de la menace non authentifiées de faire une modification persistante au module Anchor Trust en utilisant la modification FPGA bitstream:
Un attaquant avec les privilèges root sur le périphérique peut modifier le contenu de l'ancre FPGA bitstream, qui est stocké non protégé dans la mémoire flash. Les éléments de ce bitstream peuvent être modifiés pour désactiver la fonctionnalité critique dans le Tâm. modification réussie du bitstream est persistant, et la Fiducie Anchor sera désactivé dans les séquences de démarrage suivantes. Il est également possible de verrouiller toutes les mises à jour logicielles à flux binaire de TaM.
Alors que les défauts sont basés dans le matériel, ils peuvent être exploitées à distance sans avoir besoin d'un accès physique. Étant donné que les défauts résident dans la conception de matériel, il est peu probable que tout correctif de sécurité du logiciel résoudre complètement la faille de sécurité fondamentale, les chercheurs. L'exploit ne semble pas avoir été exploitée dans la nature, notant que le danger potentiel est grave.
Les chercheurs ont démontré les vulnérabilités sur un routeur Cisco ASR 1001-X, mais ils croient que l'impact exploiter un certain nombre d'autres systèmes qui disposent également d'implémentations Tâm. Comme il y a des millions d'unités Cisco fonctionnant Tâm FPGA dans le monde, la gamme des appareils concernés est impensable.
L'équipe privée a rapporté leurs conclusions concernant la référence CVE-2019-1649 à Cisco en Novembre l'année dernière. Détails sur leurs résultats ont été partiellement rendus publics après que la société a publié des correctifs de firmware face aux graves lacunes.