思科安全启动硬件篡改Thrangrycat漏洞安全通告
发布时间 2019-05-17漏洞编号和级别
CVE编号:CVE-2019-1862,危险级别:高级,CVSS分值:厂商自评:7.2,官方未评定
CVE-2019-1649
支持TAm的100多款思科产品
运行IOS XE版本16且启用了HTTP Server功能的思科设备
漏洞概述
研究人员在思科产品中发现了一个漏洞,可导致攻击者在企业和政府网络中的大量设备如路由器、交换机和防火墙上植入持久后门。这个漏洞被命名为“Thrangrycat”(“三只愤怒的猫”),由安全公司Red Baloon发现且编号为CVE-2019-1649,影响支持信任锚点模块(TAm)的多款思科产品。
根据安全厂商Red Balloon的报告,Thrangrycat漏洞是由思科信任锚模块(TAm)中的硬件设计缺陷引起的。思科TAm是自2013年以来几乎在所有思科企业设备中实现的基于硬件的安全启动功能,用于确保在硬件平台上运行的固件是真实且未经修改的。该漏洞是由于对代码区域的不正确检查造成的,该代码区域管理安全启动硬件的FPGA本地更新。攻击者通过修改FPGA比特流,可将恶意固件写入该组件,从而破坏安全启动过程并使思科的信任链从根本上无效。这一修改具有持久性,可在后续的启动过程中禁用信任锚,也可禁用之后的TAm软件更新。
由于利用该漏洞需要具有根权限,因此思科发布安全公告表示,只有具有对目标系统物理访问权限的本地攻击者才能在组件中写入经修改的固件镜像。
然而,Red Balloon研究人员指出,攻击者也能链接其它缺陷远程利用Thrangrycat漏洞,从而获取根权限或者至少以根身份执行命令。
为了演示该攻击,研究人员披露了基于web的思科IOS操作系统的用户接口RCE漏洞CVE-2019-1862,可导致已登录的管理员以根权限在受影响设备的底层Linux shell上执行任意命令。
获得根访问权限后,恶意管理员能够使用Thrangrycat漏洞远程绕过目标设备上的TAm,并安装恶意后门。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-webui#fshttps://thrangrycat.com/
参考链接
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-webui#fshttps://thrangrycat.com/
https://thehackernews.com/2019/05/cisco-secure-boot-bypass.html
京公网安备11010802024551号