首頁 > 安全研究 > 安全通報 > 安全通告

思科安全啟動硬件篡改Thrangrycat漏洞安全通告

發布時間 2019-05-17

漏洞編號和級別


CVE編號:CVE-2019-1649,危險級別:中級,CVSS分值:廠商自評:6.7,官方未評定

CVE編號:CVE-2019-1862,危險級別:高級,CVSS分值:廠商自評:7.2,官方未評定


影響版本

CVE-2019-1649

支持TAm的100多款思科產品


CVE-2019-1862

運行IOS XE版本16且啟用了HTTP Server功能的思科設備


漏洞概述


研究人員在思科產品中發現了一個漏洞,可導致攻擊者在企業和政府網絡中的大量設備如路由器、交換機和防火墻上植入持久后門。這個漏洞被命名為“Thrangrycat”(“三只憤怒的貓”),由安全公司Red Baloon發現且編號為CVE-2019-1649,影響支持信任錨點模塊(TAm)的多款思科產品。


根據安全廠商Red Balloon的報告,Thrangrycat漏洞是由思科信任錨模塊(TAm)中的硬件設計缺陷引起的。思科TAm是自2013年以來幾乎在所有思科企業設備中實現的基于硬件的安全啟動功能,用于確保在硬件平臺上運行的固件是真實且未經修改的。該漏洞是由于對代碼區域的不正確檢查造成的,該代碼區域管理安全啟動硬件的FPGA本地更新。攻擊者通過修改FPGA比特流,可將惡意固件寫入該組件,從而破壞安全啟動過程并使思科的信任鏈從根本上無效。這一修改具有持久性,可在后續的啟動過程中禁用信任錨,也可禁用之后的TAm軟件更新。


由于利用該漏洞需要具有根權限,因此思科發布安全公告表示,只有具有對目標系統物理訪問權限的本地攻擊者才能在組件中寫入經修改的固件鏡像。


然而,Red Balloon研究人員指出,攻擊者也能鏈接其它缺陷遠程利用Thrangrycat漏洞,從而獲取根權限或者至少以根身份執行命令。


為了演示該攻擊,研究人員披露了基于web的思科IOS操作系統的用戶接口RCE漏洞CVE-2019-1862,可導致已登錄的管理員以根權限在受影響設備的底層Linux shell上執行任意命令。


獲得根訪問權限后,惡意管理員能夠使用Thrangrycat漏洞遠程繞過目標設備上的TAm,并安裝惡意后門。


研究人員表示,通過鏈接Thrangrycat和遠程命令注入漏洞,攻擊者能夠遠程并持久地繞過思科的安全啟動機制并鎖定所有TAm的未來軟件更新。

漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:


CVE-2019-1649

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot


CVE-2019-1862

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-webui#fshttps://thrangrycat.com/


參考鏈接


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-webui#fshttps://thrangrycat.com/
https://thehackernews.com/2019/05/cisco-secure-boot-bypass.html

上一篇 下一篇