Peneliti keamanan informasi telah menemukan kerentanan berbahaya dalam firmware yang digunakan pada berbagai jenis perangkat Cisco. Kesalahan CVE-2019-1649 atau
Thrangrycat memungkinkan penyerang untuk menginstal
backdoors pada router, switch, dan firewall.
Apa masalahnya?
Produk-produk Cisco yang mendukung fungsi modul Trust Anchor (TAm), yang digunakan untuk mem-boot perangkat dalam safe mode (Secure Boot), rentan - sejak 2013 telah disertakan dalam firmware dari hampir semua perangkat level perusahaan.
Peneliti berhasil mendeteksi sejumlah kekurangan desain pada firmware. Akibatnya, penyerang dapat membuat perubahan pada modul Trust Anchor melalui modifikasi bitstream FPGA, yang sama sekali tidak dilindungi dan disimpan dalam memori flash, dan mengunduh bootloader berbahaya.
Untuk melakukan serangan, penyerang perlu mendapatkan hak akses root pada perangkat. Oleh karena itu, pakar Cisco mencatat dalam buletin keamanan bahwa akses lokal ke peralatan juga diperlukan. Namun, para peneliti yang menemukan kerentanan Thrangrycat menjelaskan di situs yang didedikasikan untuk itu bahwa eksploitasi jarak jauh juga dimungkinkan - untuk ini peretas pertama dapat menggunakan kerentanan RCE dari antarmuka web dari sistem operasi Cisco IOS CVE-2019-1862.
Kesalahan ini memungkinkan administrator untuk menjalankan perintah acak di shell Linux dengan hak akses root. Karena itu, menggunakannya terlebih dahulu, maka cracker tidak akan mengganggu mengeksploitasi kerentanan Thrangrycat.
Cara melindungi diri sendiri
Karena TAm adalah modul yang digunakan langsung dalam firmware, itu tidak akan bekerja untuk memperbaiki masalah keamanan mendasar dengan tambalan biasa. Newsletter Cisco mengatakan perusahaan berencana untuk merilis tambalan untuk firmware.
Contoh kerentanan Thrangrycat menunjukkan bahwa keamanan melalui pendekatan yang tidak jelas yang digunakan oleh banyak pengembang perangkat keras membahayakan keamanan pengguna akhir. Spesialis keamanan informasi telah mengkritik praktik ini selama bertahun-tahun, namun, ini tidak mencegah produsen elektronik besar, dengan alasan melindungi kekayaan intelektual, dari menuntut penandatanganan perjanjian non-pengungkapan untuk menerima dokumentasi teknis. Situasi semakin memburuk karena meningkatnya kompleksitas sirkuit mikro dan integrasi berbagai firmware yang ada di dalamnya. Ini sebenarnya membuat tidak mungkin untuk menganalisis platform tersebut untuk peneliti independen, yang menempatkan pengguna biasa dan produsen peralatan dalam risiko.
Selain Cisco, teknologi Intel Management Engine (Intel ME) dan versinya untuk server (Intel SPS) dan platform seluler (Intel TXE) dapat berfungsi sebagai contoh efek samping yang mungkin dari prinsip “keamanan melalui ketidakjelasan”.
Pada hari Kamis, 16 Mei, periset Positive Technologies, Maxim Goryachiy dan Mark Ermolov akan memberi tahu bagaimana menggunakan perintah tidak berdokumen Anda dapat menimpa memori flash SPI dan mengimplementasikan eksploitasi kerentanan lokal di Intel ME (INTEL-SA-00086).
Partisipasi dalam webinar ini gratis, diperlukan pendaftaran .