Pesquisadores de segurança da informação descobriram uma vulnerabilidade perigosa no firmware usado em vários tipos de dispositivos Cisco. O erro CVE-2019-1649 ou
Thrangrycat permite que os invasores instalem
backdoors em roteadores, comutadores e firewalls.
Qual é o problema
Os produtos Cisco que suportam a função Trust Anchor Module (TAm), que é usada para inicializar dispositivos no modo de segurança (Inicialização Segura), são vulneráveis - desde 2013, ela foi incluída no firmware de quase todos os dispositivos de nível empresarial.
Os pesquisadores conseguiram detectar uma série de falhas de design no firmware. Como resultado, um invasor pode fazer alterações no módulo Trust Anchor através de uma modificação do fluxo de bits FPGA, que não é de forma alguma protegido e armazenado na memória flash, e baixar um gerenciador de inicialização mal-intencionado.
Para realizar um ataque, um invasor precisa obter privilégios de root no dispositivo. Portanto, os especialistas da Cisco observaram no boletim de segurança que também é necessário acesso local ao equipamento. No entanto, os pesquisadores que descobriram a vulnerabilidade Thrangrycat explicaram no site dedicado a ela que a exploração remota também é possível - para isso, o hacker pode primeiro usar a vulnerabilidade RCE da interface da web do sistema operacional Cisco IOS CVE-2019-1862.
Este erro permite ao administrador executar comandos aleatórios no shell do Linux com privilégios de root. Portanto, usando-o primeiro, o cracker não interferirá na exploração da vulnerabilidade do Thrangrycat.
Como se proteger
Como o TAm é um módulo usado diretamente no firmware, ele não funcionará para corrigir um problema de segurança fundamental com um patch comum. O boletim da Cisco diz que a empresa planeja lançar patches para firmware.
Um exemplo de vulnerabilidade do Thrangrycat demonstra que a segurança através da abordagem de obscuridade usada por muitos desenvolvedores de hardware põe em risco a segurança do usuário final. Os especialistas em segurança da informação criticam essa prática há muitos anos; no entanto, isso não impede que grandes fabricantes de eletrônicos, sob o pretexto de proteger a propriedade intelectual, exijam a assinatura de acordos de não divulgação para receber documentação técnica. A situação está se deteriorando devido à crescente complexidade dos microcircuitos e à integração de vários firmware proprietários neles. Na verdade, isso torna impossível analisar essas plataformas para pesquisadores independentes, o que coloca em risco usuários comuns e fabricantes de equipamentos.
Além da Cisco, a tecnologia Intel Management Engine (Intel ME), bem como suas versões para plataformas servidor (Intel SPS) e móvel (Intel TXE), podem servir como exemplo de possíveis efeitos colaterais do princípio "segurança através da obscuridade".
Na quinta-feira, 16 de maio, os pesquisadores da Positive Technologies, Maxim Goryachiy e Mark Ermolov, contarão como, usando comandos não documentados, você pode sobrescrever a memória flash SPI e implementar a exploração de vulnerabilidade local no Intel ME (INTEL-SA-00086).
A participação no webinar é gratuita, é necessária a inscrição .