Les chercheurs en sécurité de l'information ont découvert une vulnérabilité dangereuse dans le micrologiciel utilisé sur divers types d'appareils Cisco. L'erreur CVE-2019-1649 ou
Thrangrycat permet aux attaquants d'installer des
portes dérobées sur les routeurs, les commutateurs et les pare-feu.
Quel est le problème
Les produits Cisco qui prennent en charge la fonction Trust Anchor module (TAm), qui est utilisée pour démarrer les périphériques en mode sans échec (Secure Boot), sont vulnérables - depuis 2013, il est inclus dans le micrologiciel de presque tous les périphériques de niveau entreprise.
Les chercheurs ont réussi à détecter un certain nombre de défauts de conception dans le micrologiciel. Par conséquent, un attaquant peut apporter des modifications au module Trust Anchor via une modification du flux binaire FPGA, qui n'est en aucun cas protégé et stocké dans la mémoire flash, et télécharger un chargeur de démarrage malveillant.
Pour mener une attaque, un attaquant doit obtenir les privilèges root sur l'appareil. Par conséquent, les experts Cisco ont noté dans le bulletin de sécurité qu'un accès local à l'équipement est également requis. Cependant, les chercheurs qui ont découvert la vulnérabilité Thrangrycat ont expliqué sur le site qui lui est dédié qu'une exploitation à distance est également possible - pour cela, le pirate peut d'abord utiliser la vulnérabilité RCE de l'interface Web du système d'exploitation Cisco IOS CVE-2019-1862.
Cette erreur permet à l'administrateur d'exécuter des commandes aléatoires dans le shell Linux avec les privilèges root. Par conséquent, en l'utilisant d'abord, le pirate n'interférera pas avec l'exploitation de la vulnérabilité Thrangrycat.
Comment se protéger
Étant donné que TAm est un module utilisé directement dans le micrologiciel, il ne fonctionnera pas pour résoudre un problème de sécurité fondamental avec un correctif ordinaire. Le bulletin d'information de Cisco indique que la société prévoit de publier des correctifs pour le firmware.
Un exemple de vulnérabilité Thrangrycat montre que l'approche de la sécurité par l'obscurité utilisée par de nombreux développeurs de matériel met en danger la sécurité des utilisateurs finaux. Les spécialistes de la sécurité de l'information critiquent cette pratique depuis de nombreuses années, mais cela n'empêche pas les grands fabricants d'électronique, sous prétexte de protéger la propriété intellectuelle, d'exiger la signature d'accords de confidentialité pour recevoir la documentation technique. La situation se détériore en raison de la complexité croissante des microcircuits et de l'intégration de divers micrologiciels propriétaires en leur sein. Cela rend en fait impossible d'analyser de telles plates-formes pour des chercheurs indépendants, ce qui met en danger les utilisateurs ordinaires et les fabricants d'équipements.
Outre Cisco, la technologie Intel Management Engine (Intel ME) et ses versions pour plates-formes serveur (Intel SPS) et mobiles (Intel TXE) peuvent servir d'exemple d'effets secondaires possibles du principe de la «sécurité par l'obscurité».
Jeudi 16 mai, les chercheurs de Positive Technologies Maxim Goryachiy et Mark Ermolov expliqueront comment l'utilisation de commandes non documentées peut remplacer la mémoire flash SPI et implémenter l'exploitation locale des vulnérabilités dans Intel ME (INTEL-SA-00086).
La participation au webinaire est gratuite, l' inscription est obligatoire.