Уязвимость Thrangrycat может использоваться для внедрения бэкдоров в оборудование Cisco

ИБ-эксперты обнаружили опасный баг в механизме защищеной загрузки Cisco, затрагивающий широкий ряд продуктов производителя, используемых в правительственных и корпоративных сетях, в том числе маршрутизаторы, коммутаторы и межсетевые экраны.

Уязвимость, получившая название Thrangrycat (CVE-2019-1649), связана с рядом недочетов в дизайне модуля TAm (Trust Anchor module) - функции защищенной, доверенной загрузки Secure Boot, позволяющей удостовериться в программной целостности устройства, реализованной в порядка 300 продуктах компании.

Специалисты Red Balloon Security нашли способ атаковать TAm и внести изменения в модуль через входящие/исходящие потоки данных путем манипуляции битового потока программируемой логической матрицы FPGA (Field Programmable Gate Array).

Thrangrycat может быть проэксплуатирована удаленно без необходимости физического доступа к устройствам. Отмечается, что для модификации битового потока атакующему потребуется иметь доступ с правами суперпользователя на устройстве, то есть, воспользоваться уязвимостью можно лишь в том случае, если оборудование уже скомпрометировано, например, с помощью бага, позволяющего полностью перехватить контроль над устройством.

Помимо Thrangrycat, исследователи выявили как раз такую уязвимость. Речь идет о RCE-баге (CVE-2019-1862) в web-интерфейсе операционной системы IOS XE, реализованной в продуктах Cisco, который может быть использован для доступа с правами суперпользователя к маршрутизаторам и коммутаторам.

Комбинируя вышеописаные уязвимости, злоумышленники получат возможность перехватить контроль над устройствами, получить доступ root, а затем отключить проверку TAm и блокировать обновления безопасности модуля. В свою очередь это позволит им внедрить бэкдоры на целевые устройства.

Специалисты протестировали атаку только на маршрутизаторах Cisco ASR 1001-X, но, по их словам, уязвимым является любое устройство с FPGA-модулем TAm. Полный список уязвимого оборудования представлен в предупреждении Cisco. Случаев эксплуатации уязвимостей в настоящее время не выявлено.