Thrangrycat漏洞使攻击者可以在Cisco设备上植入持久后门

导读 今天披露的一个漏洞使黑客可以在Cisco设备上植入持久的后门,甚至可以通过Internet,而无需物理访问易受攻击的设备。自2013年以来,该漏洞

今天披露的一个漏洞使黑客可以在Cisco设备上植入持久的后门,甚至可以通过Internet,而无需物理访问易受攻击的设备。

自2013年以来,该漏洞名为Thrangrycat,该漏洞影响Trust Anchor模块(TAm),该模块是Cisco设备专有的硬件安全芯片部分。

此模块是与Cisco设备等效的Intel SGX。TAm从外部,硬件隔离的组件运行,该组件以密码方式验证在Cisco设备上加载并执行的引导程序是真实的。

THRANGRYCAT漏洞

但是去年,来自Red Balloon Security的安全研究人员找到了一种方法,该方法可以通过操纵现场可编程门阵列(FPGA)比特流,通过在组件内外运行的数据流之一来攻击TAm。

修改此比特流要求对设备具有根访问权限,这意味着除非黑客已将Cisco设备危害到核心,否则黑客可以使用Thrangrycat漏洞来修改TAm。

通常情况下,大多数设备都是安全的。但是,如果攻击者链接了一个安全漏洞,使他们可以以root用户身份访问Cisco设备,那么此漏洞就会发挥作用,并成为设备所有者的大问题。

CISCO IOS RCE

不幸的是,对于所有思科设备所有者而言,同一个Red Balloon Security团队还发现了运行在思科设备上的Cisco IOS XE软件的Web界面中的远程执行代码漏洞,该漏洞可用于获得对思科路由器和交换机的根访问权限。

这意味着通过将Thrangrycat(CVE-2019-1649)与此远程代码执行漏洞(CVE-2019-1862)结合使用,位于Internet上任意位置的攻击者可以接管设备,获得root用户访问权限,然后禁用TAm启动过程验证,甚至阻止将来的TAm安全更新到达设备。

反过来,这又使攻击者可以修改Cisco固件,并在目标设备上植入持久的后门。

大多数思科设备可能受到影响

研究人员表示,他们仅使用Cisco ASR 1001-X路由器测试了此漏洞,但是任何运行基于FPGA的TAm的Cisco设备都容易受到攻击。

思科今天早些时候发布了针对这两个漏洞的安全更新。在思科Thrangrycat安全顾问名单设备思科认为受到影响,与现有固件修补一起。

Cisco IOS XE Web UI中有关RCE错误的Cisco安全通报还包括一种表格,该表格使设备所有者可以查看他们正在运行的版本是否容易受到攻击。

思科表示,没有发现利用这两个漏洞的任何攻击。尽管如此,考虑到可以证明这两个缺陷的概念证明代码已经在公共领域提供,因此最终有望发生攻击。

在专门针对Thrangrycat漏洞的网站上,红气球安全团队表示计划在今年8月的Black Hat 2019安全会议上展示一种检测Thrangrycat攻击的工具。