Los investigadores de seguridad de la información han descubierto una vulnerabilidad peligrosa en el firmware que se utiliza en varios tipos de dispositivos Cisco. El error CVE-2019-1649 o
Thrangrycat permite a los atacantes instalar
puertas traseras en enrutadores, conmutadores y firewalls.
Cual es el problema
Los productos de Cisco que admiten la función del módulo Trust Anchor (TAm), que se utiliza para arrancar dispositivos en modo seguro (Arranque seguro), son vulnerables: desde 2013 se ha incluido en el firmware de casi todos los dispositivos de nivel empresarial.
Los investigadores lograron detectar una serie de fallas de diseño en el firmware. Como resultado, un atacante puede realizar cambios en el módulo Trust Anchor a través de una modificación del flujo de bits FPGA, que de ninguna manera está protegido y almacenado en la memoria flash, y descargar un gestor de arranque malicioso.
Para realizar un ataque, un atacante necesita obtener privilegios de root en el dispositivo. Por lo tanto, los expertos de Cisco señalaron en el boletín de seguridad que también se requiere acceso local al equipo. Sin embargo, los investigadores que descubrieron la vulnerabilidad Thrangrycat explicaron en el sitio dedicado que también es posible la explotación remota; para esto, el hacker puede usar primero la vulnerabilidad RCE de la interfaz web del sistema operativo Cisco IOS CVE-2019-1862.
Este error permite al administrador ejecutar comandos aleatorios en el shell de Linux con privilegios de root. Por lo tanto, al usarlo primero, el cracker no interferirá con la explotación de la vulnerabilidad Thrangrycat.
Cómo protegerte
Dado que TAm es un módulo que se usa directamente en el firmware, no funcionará para solucionar un problema de seguridad fundamental con un parche ordinario. El boletín de Cisco dice que la compañía planea lanzar parches para el firmware.
Un ejemplo de vulnerabilidad de Thrangrycat demuestra que el enfoque de seguridad a través de la oscuridad utilizado por muchos desarrolladores de hardware pone en peligro la seguridad de los usuarios finales. Los especialistas en seguridad de la información han criticado esta práctica durante muchos años, sin embargo, esto no impide que los grandes fabricantes de productos electrónicos, con el pretexto de proteger la propiedad intelectual, exijan la firma de acuerdos de confidencialidad para recibir documentación técnica. La situación se está deteriorando debido a la creciente complejidad de los microcircuitos y la integración de varios firmware patentados en ellos. En realidad, esto hace imposible analizar dichas plataformas para investigadores independientes, lo que pone en riesgo tanto a los usuarios comunes como a los fabricantes de equipos.
Además de Cisco, la tecnología Intel Management Engine (Intel ME) y sus versiones para servidores (Intel SPS) y plataformas móviles (Intel TXE) pueden servir como ejemplo de posibles efectos secundarios del principio de "seguridad a través de la oscuridad".
El jueves 16 de mayo, los investigadores de Tecnologías Positivas Maxim Goryachiy y Mark Ermolov contarán cómo usar comandos no documentados puede sobrescribir la memoria flash SPI e implementar la explotación de vulnerabilidad local en Intel ME (INTEL-SA-00086).
La participación en el seminario web es gratuita, es necesario registrarse .