CVE-2019-1649は、シスコ製品の重大な脆弱性です. Thrangrycatとも呼ばれる, このエクスプロイトにより、攻撃者は企業および政府のネットワーク内のさまざまなデバイスに永続的なバックドアを埋め込むことができます。. デバイスはルーターである可能性があります, スイッチ, トラストアンカーモジュールをサポートするファイアウォール.
CVE-2019-1649 (Thrangrycatエクスプロイト) 技術的な詳細
によると レッドバルーンセキュリティ, 欠陥を発見した研究者, Thrangrycatエクスプロイトと呼ばれる上記のデバイスには2つの脆弱性があります. 最初の欠陥により、攻撃者はCiscoのトラストアンカーモジュールを完全にバイパスできます。 (TAm) フィールドプログラマブルゲートアレイ経由 (FPGA) ビットストリーム操作. 2番目の欠陥は、CiscoIOSXEバージョンに対して使用できるリモートコマンドインジェクションの脆弱性です。 16 これにより、rootとしてリモートでコードが実行される可能性があります:
エクスプロイトをリモートコマンドインジェクションの脆弱性と連鎖させる, 攻撃者は、シスコのセキュアブートメカニズムをリモートで永続的にバイパスし、TAmに対する今後のすべてのソフトウェアアップデートをロックアウトする可能性があります。, アドバイザリーは言った.
シスコのトラストアンカーモジュールとは
これは独自のハードウェアセキュリティモジュールであり、それ以降、ほぼすべてのシスコエンタープライズデバイスに実装されています。 2013. このモジュールは、ハードウェアプラットフォームで実行されているファームウェアが本物であり、変更されていないことを確認します.
不運にも, Red Balloon Securityの研究者は、認証されていない脅威アクターがFPGAビットストリーム変更を使用してトラストアンカーモジュールに永続的な変更を加えることを可能にする、言及されたデバイスのいくつかのハードウェア設計上の欠陥に遭遇しました。:
デバイスのroot権限を持つ攻撃者は、FPGAアンカービットストリームの内容を変更できます。, フラッシュメモリに保護されずに保存されます. このビットストリームの要素を変更して、TAmの重要な機能を無効にすることができます. ビットストリームの正常な変更は永続的です, トラストアンカーは、後続のブートシーケンスで無効になります. TAmのビットストリームへのソフトウェアアップデートをロックアウトすることも可能です.
欠陥はハードウェアに基づいていますが, 物理的なアクセスを必要とせずにリモートで利用できます. 欠陥はハードウェア設計内にあるため, ソフトウェアセキュリティパッチが根本的なセキュリティの欠陥を完全に解決する可能性は低いです。, 研究者は言った. このエクスプロイトは実際には悪用されていないようです, 潜在的な危険が深刻であることに注意してください.
研究者は、CiscoASR1001-Xルーターの脆弱性を実証しました, しかし彼らは、このエクスプロイトがTAmの実装を特徴とする他の多くのシステムに影響を与えると信じています. 世界中にFPGAベースのTAmを実行しているシスコのユニットが何百万もあるため, 影響を受けるデバイスの範囲は考えられません.
チームは昨年11月にCVE-2019-1649に関する調査結果をシスコに非公開で報告しました. 同社が重大な欠陥に対処するファームウェアパッチを発行した後、彼らの調査結果に関する詳細は部分的に公開されました.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: