Falha no Thrangrycat permite que atacantes instalem backdoors em equipamentos da Cisco

Uma vulnerabilidade divulgada ontem permite que hackers instalem backdoors persistentes nos equipamentos Cisco, mesmo pela Internet, sem acesso físico a dispositivos vulneráveis.

Chamado de Thrangrycat, a vulnerabilidade afeta o módulo Trust Anchor (TAm), um chip proprietário de segurança de hardware da Cisco desde 2013.

Este módulo é o equivalente do Intel SGX para dispositivos Cisco. O TAm é executado a partir de um componente externo, isolado por hardware, que verifica criptograficamente se o carregador de inicialização que é carregado e executado no equipamento Cisco é autêntico.

VULNERABILIDADE THRANGRYCAT

Mas no ano passado, os pesquisadores de segurança da Red Balloon Security descobriram uma maneira de atacar o TAm através de um dos fluxos de dados que entram e saem do componente – manipulando o bitstream do Field Programmable Gate Array (FPGA).

A modificação desse fluxo de bits requer acesso root ao dispositivo, o que significa que os hackers podem usar a vulnerabilidade Thrangrycat para modificar o TAm, a menos que eles já tenham comprometido os dispositivos Cisco no núcleo.

Em circunstâncias normais, a maioria dos dispositivos seria segura. No entanto, se um invasor encadear uma falha de segurança que permita que eles tenham acesso ao equipamento da Cisco como root, essa vulnerabilidade será acionada e se tornará um grande problema para os proprietários de dispositivos.

CISCO IOS RCE

Infelizmente para todos os proprietários de dispositivos Cisco, a mesma equipe da Red Balloon Security também descobriu uma falha na execução remota de código na interface web do software Cisco IOS XE que é executado em dispositivos Cisco, que podem ser usados ​​para obter acesso root nos roteadores e switches Cisco.

Isso significa que ao combinar Thrangrycat (CVE-2019-1649) com essa falha de execução remota de código (CVE-2019-1862), um invasor localizado em qualquer lugar na Internet pode assumir dispositivos, obter acesso root e desativar o processo de inicialização TAm verificação e até mesmo impedir que futuras atualizações de segurança de TAm atinjam dispositivos.

Isso, por sua vez, permite que invasores modifiquem o firmware da Cisco e usem backdoors persistentes em dispositivos direcionados.

A MAIORIA DOS EQUIPAMENTOS DA CISCO PROVAVELMENTE IMPACTADOS

Os pesquisadores disseram que só testaram essa vulnerabilidade com roteadores Cisco ASR 1001-X, mas qualquer dispositivo da Cisco que esteja executando um TAm baseado em FPGA é vulnerável.

A Cisco lançou atualizações de segurança para as duas vulnerabilidades ontem cedo. O comunicado de segurança da Cisco Thrangrycat lista dispositivos que a Cisco acredita serem afetados, juntamente com patches de firmware disponíveis.

comunicado de segurança da Cisco para o bug RCE na interface de usuário da web do Cisco IOS XE também inclui um formulário que permite que os proprietários de dispositivos verifiquem se a versão que estão executando é vulnerável.

A Cisco afirmou que não detectou nenhum ataque explorando essas duas falhas. No entanto, tendo em conta que o código de prova de conceito para demonstrar ambas as falhas está disponível no domínio público, os ataques são esperados para acontecer.

Em um site dedicado à vulnerabilidade da Thrangrycat , a equipe da Red Balloon Security disse que planeja apresentar uma ferramenta para a detecção de ataques Thrangrycat em agosto deste ano, na conferência de segurança Black Hat 2019.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.