Forscher für Informationssicherheit haben eine gefährliche Sicherheitslücke in der Firmware entdeckt, die auf verschiedenen Arten von Cisco-Geräten verwendet wird. Mit dem Fehler CVE-2019-1649 oder
Thrangrycat können Angreifer
Backdoors auf Routern, Switches und Firewalls installieren.
Was ist das Problem
Cisco-Produkte, die die TAm-Funktion (Trust Anchor Module) unterstützen, mit der Geräte im abgesicherten Modus (Secure Boot) gestartet werden, sind anfällig. Seit 2013 ist sie in der Firmware fast aller Geräte auf Unternehmensebene enthalten.
Den Forschern gelang es, eine Reihe von Designfehlern in der Firmware zu erkennen. Infolgedessen kann ein Angreifer durch eine Änderung des FPGA-Bitstroms, der in keiner Weise geschützt und im Flash-Speicher gespeichert ist, Änderungen am Trust Anchor-Modul vornehmen und einen böswilligen Bootloader herunterladen.
Um einen Angriff auszuführen, muss ein Angreifer Root-Rechte auf dem Gerät erwerben. Daher haben Cisco-Experten im Security Bulletin festgestellt, dass auch lokaler Zugriff auf die Geräte erforderlich ist. Forscher, die die Thrangrycat-Sicherheitsanfälligkeit entdeckt haben, erklärten auf der ihr gewidmeten Site, dass auch Remote-Exploitation möglich ist. Hierzu kann der Hacker zunächst die RCE-Sicherheitsanfälligkeit der Webschnittstelle des Betriebssystems Cisco IOS CVE-2019-1862 verwenden.
Dieser Fehler ermöglicht es dem Administrator, zufällige Befehle in der Linux-Shell mit Root-Rechten auszuführen. Wenn Sie es also zuerst verwenden, wird der Cracker die Ausnutzung der Thrangrycat-Sicherheitsanfälligkeit nicht beeinträchtigen.
Wie Sie sich schützen können
Da TAm ein Modul ist, das direkt in der Firmware verwendet wird, kann ein grundlegendes Sicherheitsproblem mit einem normalen Patch nicht behoben werden. Der Cisco-Newsletter besagt, dass das Unternehmen plant, Patches für die Firmware zu veröffentlichen.
Ein Beispiel für eine Thrangrycat-Sicherheitsanfälligkeit zeigt, dass der von vielen Hardwareentwicklern verwendete Ansatz der Sicherheit durch Unbekanntheit die Sicherheit der Endbenutzer gefährdet. Spezialisten für Informationssicherheit kritisieren diese Praxis seit vielen Jahren. Dies hindert jedoch große Elektronikhersteller unter dem Vorwand des Schutzes des geistigen Eigentums nicht daran, die Unterzeichnung von Geheimhaltungsvereinbarungen zu fordern, um technische Unterlagen zu erhalten. Die Situation verschlechtert sich aufgrund der zunehmenden Komplexität von Mikroschaltungen und der Integration verschiedener proprietärer Firmware in diese. Dies macht es tatsächlich unmöglich, solche Plattformen für unabhängige Forscher zu analysieren, was sowohl normale Benutzer als auch Gerätehersteller gefährdet.
Neben Cisco können die Intel Management Engine (Intel ME) -Technologie sowie ihre Versionen für Server- (Intel SPS) und mobile (Intel TXE) Plattformen als Beispiel für mögliche Nebenwirkungen des Prinzips „Sicherheit durch Dunkelheit“ dienen.
Am Donnerstag, den 16. Mai, werden die Forscher von Positive Technologies, Maxim Goryachiy und Mark Ermolov, erläutern, wie Sie mit undokumentierten Befehlen den SPI-Flash-Speicher überschreiben und die Ausnutzung lokaler Sicherheitslücken in Intel ME (INTEL-SA-00086) implementieren können.
Die Teilnahme am Webinar ist kostenlos, eine Anmeldung ist erforderlich.