اكتشف باحثو أمن المعلومات ثغرة أمنية خطيرة في البرامج الثابتة المستخدمة على أنواع مختلفة من أجهزة سيسكو. يتيح الخطأ CVE-2019-1649 أو
Thrangrycat للمهاجمين تثبيت أجهزة
خلفية على أجهزة التوجيه والمحولات وجدران الحماية.
ما هي المشكلة
منتجات Cisco التي تدعم وظيفة Trust Anchor module (TAm) ، والتي تُستخدم لتشغيل الأجهزة في الوضع الآمن (Secure Boot) ، معرضة للخطر - منذ عام 2013 تم تضمينها في البرامج الثابتة لجميع الأجهزة على مستوى enteprise تقريبًا.
تمكن الباحثون من اكتشاف عدد من عيوب التصميم في البرامج الثابتة. نتيجةً لذلك ، يمكن للمهاجم إجراء تغييرات على وحدة Trust Anchor من خلال تعديل دفق FPGA ، والذي لا يتم بأي حال من الأحوال حمايته وتخزينه في ذاكرة الفلاش ، وتنزيل أداة تحميل bootloaded ضارة.
لإجراء هجوم ، يحتاج المهاجم إلى الحصول على امتيازات الجذر على الجهاز. لذلك ، لاحظ خبراء Cisco في نشرة الأمن أن الوصول المحلي إلى الجهاز مطلوب أيضًا. ومع ذلك ، فإن الباحثين الذين اكتشفوا ثغرة أمنية Thrangrycat أوضحوا على الموقع المخصص له أن الاستغلال عن بُعد ممكن أيضًا - ولهذا الغرض يمكن للمتسلل أولاً استخدام ثغرة RCE لواجهة الويب لنظام التشغيل Cisco IOS CVE-2019-1862.
يسمح هذا الخطأ للمسؤول بتنفيذ الأوامر العشوائية في Linux shell بامتيازات الجذر. لذلك ، عند استخدامه أولاً ، لن تتداخل أداة التكسير في استغلال مشكلة عدم حصانة Thrangrycat.
كيف تحمي نفسك
نظرًا لأن TAm عبارة عن وحدة يتم استخدامها مباشرةً في البرامج الثابتة ، فلن تعمل على حل مشكلة أمنية أساسية باستخدام تصحيح عادي. تقول نشرة Cisco الإخبارية أن الشركة تخطط لإصدار تصحيحات للبرامج الثابتة.
يوضح مثال على ثغرة أمنية في Thrangrycat أن الأمن من خلال نهج الغموض الذي يستخدمه العديد من مطوري الأجهزة يعرض للخطر أمن المستخدمين النهائيين. ينتقد متخصصو أمن المعلومات هذه الممارسة لسنوات عديدة ، ومع ذلك ، فإن هذا لا يمنع الشركات المصنعة للإلكترونيات الكبيرة ، بذريعة حماية الملكية الفكرية ، من المطالبة بتوقيع اتفاقيات عدم الكشف لتلقي الوثائق التقنية. يتدهور الوضع بسبب التعقيد المتزايد للدوائر الدقيقة ودمج مختلف البرامج الثابتة الخاصة بها. هذا في الواقع يجعل من المستحيل تحليل مثل هذه المنصات للباحثين المستقلين ، مما يعرض كل من المستخدمين العاديين ومصنعي المعدات للخطر.
بالإضافة إلى Cisco ، يمكن أن تكون تقنية Intel Management Engine (Intel ME) ، بالإضافة إلى إصداراتها للخوادم (Intel SPS) ومنصات المحمول (Intel TXE) ، مثالاً على الآثار الجانبية المحتملة لمبدأ "الأمان من خلال الغموض".
في يوم الخميس ، 16 مايو ، سيقوم الباحثان في شركة Technologies Technologies Maxim Goryachiy و Mark Ermolov بإخبار كيف يمكنك باستخدام أوامر غير موثقة الكتابة فوق ذاكرة فلاش SPI وتنفيذ استغلال الثغرات المحلية في Intel ME (INTEL-SA-00086).
المشاركة في الندوة مجانية ، والتسجيل مطلوب.