CVE-2019-1649 è una vulnerabilità grave in prodotti Cisco. Anche soprannominato Thrangrycat, l'exploit potrebbe consentire agli aggressori di impiantare backdoor persistente su una vasta gamma di dispositivi in reti aziendali e governative. Dispositivi potrebbero essere router, interruttori, e firewall che supportano modulo Trust Anchor.
CVE-2019-1649 (Thrangrycat Exploit) Dettagli tecnici
Secondo Red Balloon Sicurezza, i ricercatori che hanno scoperto la falla, ci sono due vulnerabilità in detti dispositivi che sono stati doppiati Thrangrycat sfruttare. La prima falla permette ad un utente malintenzionato di ignorare completamente il modulo Trust Anchor di Cisco (Tam) tramite Field Programmable Gate Array (FPGA) manipolazione bitstream. Il secondo difetto è una vulnerabilità di iniezione di comando remoto che può essere utilizzato con la versione Cisco IOS XE 16 che permette l'esecuzione di codice remoto come root:
Concatenando l'exploit con vulnerabilità di iniezione di comando remoto, un utente malintenzionato può in remoto e di bypass meccanismo di avvio sicuro con insistenza di Cisco e bloccare tutti i futuri aggiornamenti software al Tam, la consulenza detta.
Che cosa è Anchor modulo fiducia di Cisco
E 'un modulo proprietario di sicurezza hardware che viene realizzato in quasi tutti i dispositivi aziendali di Cisco dal 2013. Il modulo assicura che il firmware in esecuzione su piattaforme hardware è autentico e non è stato modificato.
Sfortunatamente, i ricercatori Red Balloon di sicurezza sono imbattuto in alcuni difetti di progettazione hardware in dispositivi citati che potrebbero consentire agli attori di minaccia non autenticati di apportare modifiche persistenti al modulo Trust Anchor utilizzando modifica FPGA bitstream:
Un utente malintenzionato con privilegi di root sul dispositivo può modificare il contenuto del bitstream FPGA di ancoraggio, che è memorizzato nella memoria flash non protetta. Elementi di questa bitstream possono essere modificati per disattivare la funzionalità critico nella Tam. modifica riuscita del flusso di bit è persistente, e la fiducia Anchor sarà disabilitato nelle successive sequenze di avvio. E 'anche possibile bloccare eventuali aggiornamenti del software di bitstream del Tam.
Mentre i difetti si basano in hardware, essi possono essere sfruttate da remoto senza necessità di accesso fisico. Dal momento che i difetti risiedono nel progetto hardware, è improbabile che qualsiasi patch di sicurezza del software risolverà completamente la falla di sicurezza fondamentale, i ricercatori hanno detto. L'exploit non sembra essere stato sfruttato in natura, notando che il potenziale pericolo è grave.
I ricercatori hanno dimostrato le vulnerabilità su un router 1001-X Cisco ASR, ma credono che l'impatto sfruttare un certo numero di altri sistemi che dispongono anche implementazioni Tam. Dal momento che ci sono milioni di unità di Cisco in esecuzione TAM basato su FPGA in tutto il mondo, la gamma di dispositivi interessati è impensabile.
Il team ha riferito privatamente le loro scoperte che coinvolgono CVE-2019-1649 per Cisco nel novembre dello scorso anno. Dettagli circa i loro risultati sono stati parzialmente resi pubblici dopo che la società ha emesso patch del firmware affrontare le gravi carenze.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: