Thrangrycat: Un gatto nervoso per Cisco.

La falla risulta presente in milioni di dispositivi Cisco.

“Poiché i difetti risiedono all’interno della progettazione hardware, è improbabile che qualsiasi patch di sicurezza del software risolva completamente la vulnerabilità”.

Questa vulnerabilità consente agli aggressori di impiantare una backdoor persistente.
I ricercatori hanno scoperto una grave vulnerabilità nei prodotti Cisco che potrebbe consentire agli aggressori di impiantare backdoor persistenti su dispositivi di ampia portata utilizzati nelle imprese e nelle reti governative, compresi router, switch e firewall.

Cisco CVE-2019-1649
Cisco CVE-2019-1649

La vulnerabilità, scoperta dai ricercatori della società di sicurezza Red Balloon e identificata come CVE-2019-1649 e soprannominata Thrangrycat o semplicemente 😾😾😾,  colpisce molteplici prodotti Cisco che supportano il modulo Trust Anchor (TAm).
Il modulo Trust Anchor (TAm) è una funzionalità Secure Boot basata su hardware implementata in quasi tutti i dispositivi aziendali Cisco dal 2013, che assicura che il firmware in esecuzione sulle piattaforme hardware sia autentico e non modificato.

Tuttavia, i ricercatori hanno trovato una serie di difetti di progettazione hardware che potrebbero consentire a un aggressore autenticato di effettuare la modifica persistente al modulo Trust Anchor tramite modifica FPGA bitstream e caricare il bootloader dannoso.



 

Come funziona

“Un attaccante con privilegi di root sul dispositivo può modificare il contenuto dell’anchor bitstream dell’FPGA, che è memorizzato senza protezione nella memoria flash. Gli elementi di questo bitstream possono essere modificati per disabilitare le funzionalità critiche nel TAm”, hanno detto i ricercatori.
“La modifica di successo del bitstream è persistente, e il Trust Anchor sarà disabilitato nelle successive sequenze di avvio. È anche possibile bloccare qualsiasi aggiornamento software del bitstream di TAm”.

Poiché lo sfruttamento della vulnerabilità richiede privilegi di root, un avviso rilasciato da Cisco ha sottolineato che solo un attaccante locale con accesso fisico al sistema in questione potrebbe scrivere un’immagine firmware modificata al componente.
Tuttavia, i ricercatori di Red Balloon hanno spiegato che gli aggressori potrebbero anche sfruttare in remoto la vulnerabilità di Thrangrycat incatenandola insieme ad altri difetti che potrebbero permettere loro di ottenere l’accesso root o, almeno, eseguire comandi come root.

Per dimostrare questo attacco, i ricercatori hanno rivelato una vulnerabilità RCE (CVE-2019-1862) nell’interfaccia utente basata sul web del sistema operativo IOS di Cisco che consente a un amministratore loggato di eseguire a distanza comandi arbitrari sulla shell Linux sottostante di un dispositivo interessato con privilegi di root.
Dopo aver ottenuto l’accesso di root, l’amministratore può quindi bypassare in remoto il modulo Trust Anchor (TAm) su un dispositivo mirato utilizzando la vulnerabilità di Thrangrycat e installare una backdoor dannosa.



 

Ma non basta

“Incatenando le vulnerabilità di 😾😾😾 e le vulnerabilità dell’iniezione dei comandi remoti, un aggressore può aggirare in remoto e in maniera persistentemente il meccanismo di avvio sicuro di Cisco e bloccare tutti i futuri aggiornamenti software al TAm”, hanno detto i ricercatori.
“Poiché i difetti risiedono all’interno della progettazione hardware, è improbabile che qualsiasi patch di sicurezza del software risolva completamente la vulnerabilità di sicurezza”.
Mentre i ricercatori hanno testato le vulnerabilità dei router Cisco ASR 1001-X, centinaia di milioni di unità Cisco che eseguono un TAm basato su FPGA in tutto il mondo – che include tutto, dai router aziendali agli switch di rete e firewall – sono vulnerabili.