Được đặt tên là Thrangrycat, lỗ hổng bảo mật, được phát hiện bởi các nhà nghiên cứu từ công ty bảo mật Red Balloon và được xác định là CVE-2019-1649, ảnh hưởng đến nhiều sản phẩm của Cisco hỗ trợ mô-đun Trust Anchor (TAm).
Mô-đun Trust Anchor (TAm) là chức năng Secure Boot dựa trên phần cứng được triển khai trong hầu hết các thiết bị doanh nghiệp của Cisco kể từ năm 2013, đảm bảo firmware chạy trên nền tảng phần cứng là xác thực và không bị thay đổi.
Tuy nhiên, các nhà nghiên cứu đã tìm thấy một loạt các lỗi thiết kế phần cứng có thể cho phép kẻ tấn công được xác thực thực hiện sửa đổi liên tục cho mô-đun Trust Anchor thông qua sửa đổi dòng bit của FPGA và tải bộ tải khởi động độc hại.
Các nhà nghiên cứu cho biết: “Kẻ tấn công có quyền root trên thiết bị có thể sửa đổi nội dung của dòng bit neo của FPGA, được lưu trữ không được bảo vệ trong bộ nhớ flash. Các yếu tố của dòng bit này có thể được sửa đổi để vô hiệu hóa chức năng quan trọng trong TAm. Việc sửa đổi thành công dòng bit và Trust Anchor sẽ bị vô hiệu hóa trong các chuỗi khởi động tiếp theo. Cũng có thể khóa bất kỳ bản cập nhật phần mềm nào cho dòng bit của TAm”.
Do việc khai thác lỗ hổng đòi hỏi phải có quyền root, một lời khuyên do Cisco đưa ra nhấn mạnh rằng chỉ có kẻ tấn công cục bộ có quyền truy cập vật lý vào hệ thống được nhắm mục tiêu mới có thể ghi firmware image đã sửa đổi vào thành phần.
Tuy nhiên, các nhà nghiên cứu của Red Balloon giải thích rằng những kẻ tấn công cũng có thể khai thác lỗ hổng Thrangrycat từ xa bằng cách kết nối nó với các lỗ hổng khác có thể cho phép chúng có quyền truy cập root hoặc ít nhất là thực thi các lệnh dưới quyền root.
Để chứng minh cuộc tấn công này, các nhà nghiên cứu đã tiết lộ lỗ hổng RCE (CVE-2019-1862) trong giao diện người dùng dựa trên web của hệ điều hành IOS của Cisco, cho phép quản trị viên đăng nhập thực hiện các lệnh tùy ý trên Linux shell bên dưới của thiết bị bị ảnh hưởng với quyền root.
Sau khi có quyền truy cập root, quản trị viên lừa đảo có thể bỏ qua mô-đun Trust Anchor (TAm) từ xa trên thiết bị được nhắm mục tiêu bằng cách sử dụng lỗ hổng Thrangrycat và cài đặt một backdoor độc hại.
Đây là những gì làm cho lỗ hổng này nghiêm trọng hơn:
“Bằng cách xâu chuỗi lỗ hổng Thrangrycat và các lỗ hổng tiêm lệnh từ xa, một hacker có thể tấn công từ xa bỏ qua cơ chế khởi động an toàn của Cisco và khóa tất cả các bản cập nhật phần mềm trong tương lai cho TAm,” các nhà nghiên cứu cho biết.
Trong khi các nhà nghiên cứu đã kiểm tra các lỗ hổng chống lại bộ định tuyến Cisco ASR 1001-X, hàng trăm triệu đơn vị của Cisco chạy TAm dựa trên nền tảng FPGA trên thế giới, bao gồm mọi thứ từ bộ định tuyến doanh nghiệp đến bộ chuyển mạch mạng và tường lửa dễ bị tấn công.
Red Balloon Security đã báo cáo riêng các vấn đề với Cisco vào tháng 11 năm 2018 và chỉ công bố một số chi tiết cho công chúng sau khi Cisco ban hành các bản vá firmware để giải quyết cả hai lỗi và liệt kê tất cả các sản phẩm bị ảnh hưởng.
Cisco cho biết công ty đã không phát hiện các cuộc tấn công khai thác bất kỳ lỗ hổng nào trong hai lỗ hổng này. Chi tiết đầy đủ về các lỗ hổng sẽ được phát hành tại hội nghị bảo mật Black Hat USA năm nay vào tháng 8.
Nguồn: Flaw Affecting Millions of Cisco Devices Let Attackers Implant Persistent Backdoor
Xem thêm: Khai thác mới đe dọa hơn 9.000 bộ định tuyến Cisco RV320/RV325
Lỗ hổng trên ASA, Firepower của Cisco đang bị khai thác và vẫn chưa có bản vá
Tenable tiết lộ lỗ hổng Verizon Fios router, ảnh hưởng tới hàng triệu user