CVE-2019-1649 é uma vulnerabilidade grave em produtos Cisco. Também apelidado de Thrangrycat, a exploração pode permitir que invasores implantem backdoor persistente em uma ampla gama de dispositivos em redes corporativas e governamentais. Dispositivos podem ser roteadores, comuta, e firewalls que suportam o módulo Trust Anchor.
CVE-2019-1649 (Thrangrycat Exploit) Detalhes técnicos
De acordo com Segurança de balão vermelho, os pesquisadores que descobriram a falha, existem duas vulnerabilidades nos referidos dispositivos que foram apelidados de exploração Thrangrycat. A primeira falha permite que um invasor ignore totalmente o módulo Trust Anchor da Cisco (TAm) via Field Programmable Gate Array (FPGA) manipulação de bitstream. A segunda falha é uma vulnerabilidade de injeção de comando remoto que pode ser usada contra a versão Cisco IOS XE 16 que permite a execução remota de código como root:
Encadeando a exploração com vulnerabilidades de injeção de comando remoto, um invasor pode ignorar remotamente e persistentemente o mecanismo de inicialização segura da Cisco e bloquear todas as atualizações de software futuras para o TAm, o consultor disse.
O que é o Módulo âncora de confiança da Cisco
É um módulo de segurança de hardware proprietário que é implementado em quase todos os dispositivos empresariais Cisco desde 2013. O módulo garante que o firmware rodando em plataformas de hardware é autêntico e não foi modificado.
Infelizmente, os pesquisadores do Red Balloon Security encontraram várias falhas de design de hardware nos dispositivos mencionados que podem permitir que agentes de ameaças não autenticados façam modificações persistentes no módulo Trust Anchor usando modificação de fluxo de bits FPGA:
Um invasor com privilégios de root no dispositivo pode modificar o conteúdo do fluxo de bits âncora FPGA, que é armazenado sem proteção na memória flash. Os elementos deste fluxo de bits podem ser modificados para desativar a funcionalidade crítica no TAm. A modificação bem-sucedida do fluxo de bits é persistente, e a âncora de confiança será desativada nas sequências de inicialização subsequentes. Também é possível bloquear quaisquer atualizações de software para o fluxo de bits do TAm.
Embora as falhas sejam baseadas no hardware, eles podem ser explorados remotamente sem qualquer necessidade de acesso físico. Uma vez que as falhas residem no design do hardware, é improvável que qualquer patch de segurança de software resolva totalmente a falha de segurança fundamental, os pesquisadores disseram. O exploit não parece ter sido explorado em estado selvagem, observando que o perigo potencial é grave.
Os pesquisadores demonstraram as vulnerabilidades em um roteador Cisco ASR 1001-X, mas eles acreditam que a exploração impacta uma série de outros sistemas que também apresentam implementações TAm. Uma vez que existem milhões de unidades Cisco executando TAm baseado em FPGA em todo o mundo, a gama de dispositivos afetados é impensável.
A equipe relatou em particular suas descobertas envolvendo CVE-2019-1649 para a Cisco em novembro do ano passado. Os detalhes sobre suas descobertas foram parcialmente tornados públicos depois que a empresa lançou patches de firmware que abordam as falhas graves.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: