Thrangrycat может быть проэксплуатирована удаленно без необходимости физического доступа к устройствам.
ИБ-эксперты обнаружили опасный баг в механизме защищеной загрузки Cisco, затрагивающий широкий ряд продуктов производителя, используемых в правительственных и корпоративных сетях, в том числе маршрутизаторы, коммутаторы и межсетевые экраны.
Уязвимость, получившая название Thrangrycat (CVE-2019-1649), связана с рядом недочетов в дизайне модуля TAm (Trust Anchor module) – функции защищенной, доверенной загрузки Secure Boot, позволяющей удостовериться в программной целостности устройства, реализованной в порядка 300 продуктах компании.
Специалисты Red Balloon Security нашли способ атаковать TAm и внести изменения в модуль через входящие/исходящие потоки данных путем манипуляции битового потока программируемой логической матрицы FPGA (Field Programmable Gate Array).
Thrangrycat может быть проэксплуатирована удаленно без необходимости физического доступа к устройствам. Отмечается, что для модификации битового потока атакующему потребуется иметь доступ с правами суперпользователя на устройстве, то есть, воспользоваться уязвимостью можно лишь в том случае, если оборудование уже скомпрометировано, например, с помощью бага, позволяющего полностью перехватить контроль над устройством.
Помимо Thrangrycat, исследователи выявили как раз такую уязвимость. Речь идет о RCE-баге (CVE-2019-1862) в web-интерфейсе операционной системы IOS XE, реализованной в продуктах Cisco, который может быть использован для доступа с правами суперпользователя к маршрутизаторам и коммутаторам.
Комбинируя вышеописаные уязвимости, злоумышленники получат возможность перехватить контроль над устройствами, получить доступ root, а затем отключить проверку TAm и блокировать обновления безопасности модуля. В свою очередь это позволит им внедрить бэкдоры на целевые устройства.
Специалисты протестировали атаку только на маршрутизаторах Cisco ASR 1001-X, но, по их словам, уязвимым является любое устройство с FPGA-модулем TAm. Полный список уязвимого оборудования представлен в предупреждении Cisco. Случаев эксплуатации уязвимостей в настоящее время не выявлено.
