信息安全研究人员发现了在各种类型的Cisco设备上使用的固件中的危险漏洞。 错误CVE-2019-1649或
Thrangrycat允许攻击者在路由器,交换机和防火墙上安装
后门 。
有什么问题
支持用于以安全模式启动设备(安全启动)的Trust Anchor模块(TAm)功能的Cisco产品容易受到攻击-自2013年以来,它几乎已包含在所有企业级设备的固件中。
研究人员设法检测到固件中的许多设计缺陷。 结果,攻击者可以通过修改FPGA比特流(完全不受保护并存储在闪存中)来更改Trust Anchor模块,并下载恶意的引导程序。
要进行攻击,攻击者需要获得设备的root特权。 因此,在安全公告中,思科专家指出,还需要本地访问设备。 但是,发现Thrangrycat漏洞的研究人员在专门针对该漏洞的网站上解释说,也可以进行远程利用-为此,黑客可以首先使用Cisco IOS CVE-2019-1862操作系统的Web界面的RCE漏洞。
此错误使管理员可以使用root特权在Linux shell中执行随机命令。 因此,首先使用它,然后解密器将不会干扰利用Thrangrycat漏洞。
如何保护自己
由于TAm是直接在固件中使用的模块,因此无法解决普通补丁程序中的基本安全性问题。 思科时事通讯说,该公司计划发布固件补丁。
Thrangrycat漏洞的一个示例表明,许多硬件开发人员使用的通过模糊方法进行的安全性危及最终用户的安全性。 信息安全专家多年来一直在批评这种做法,但是,这并不能阻止大型电子制造商以保护知识产权为借口,要求签署保密协议以获取技术文档。 由于微电路的复杂性增加以及各种专有固件的集成,这种情况正在恶化。 实际上,这使得不可能为独立研究人员分析此类平台,从而使普通用户和设备制造商都面临风险。
除思科外,英特尔管理引擎(Intel ME)技术及其用于服务器(Intel SPS)和移动(Intel TXE)平台的版本还可以作为“通过隐秘性确保安全”原则可能产生的副作用的示例。
5月16日星期四, Positive Technologies研究人员Maxim Goryachiy和Mark Ermolov将告诉您如何使用未记录的命令覆盖SPI闪存并在Intel ME(INTEL-SA-00086)中实施本地漏洞利用。
参加网络研讨会是免费的,需要注册 。