Los investigadores han descubierto una vulnerabilidad grave en los productos de Cisco que podría permitir a los atacantes implantar una puerta trasera persistente en una amplia gama de dispositivos utilizados en empresas y redes gubernamentales, incluidos enrutadores, conmutadores y cortafuegos.
Apodada Thrangrycat o 😾😾😾, la vulnerabilidad, descubierta por investigadores de la empresa de seguridad Red Balloon e identificada como CVE-2019-1649, afecta a varios productos de Cisco que admiten el módulo Trust Anchor (TAm).
El módulo Trust Anchor (TAm) es una funcionalidad de arranque seguro basada en hardware implementada en casi todos los dispositivos empresariales de Cisco desde 2013 que garantiza que el firmware que se ejecuta en las plataformas de hardware sea auténtico y no se modifique.
Sin embargo, los investigadores encontraron una serie de fallas de diseño de hardware que podrían permitir que un atacante autenticado realice la modificación persistente en el módulo Trust Anchor a través de la modificación del flujo de bits de FPGA y cargue el gestor de arranque malicioso.
«Un atacante con privilegios de root en el dispositivo puede modificar el contenido del flujo de bits de anclaje de FPGA, que se almacena sin protección en la memoria flash. Los elementos de este flujo de bits se pueden modificar para desactivar la funcionalidad crítica en el TAm», dijeron los investigadores.
«La modificación exitosa del flujo de bits es persistente, y Trust Anchor se desactivará en las secuencias de arranque posteriores. También es posible bloquear cualquier actualización de software del flujo de bits de TAm».
Encadenamiento con errores remotos: no se requiere acceso físico
Dado que la explotación de la vulnerabilidad requiere privilegios de root, un aviso publicado por Cisco enfatizó que solo un atacante local con acceso físico al sistema objetivo podría escribir una imagen de firmware modificada en el componente.
Sin embargo, los investigadores de Red Balloon explicaron que los atacantes también podrían explotar la vulnerabilidad de Thrangrycat de forma remota encadenándola con otras fallas que podrían permitirles obtener acceso de root o, al menos, ejecutar comandos como root.
Para demostrar este ataque, los investigadores revelaron una vulnerabilidad RCE (CVE-2019-1862) en la interfaz de usuario basada en la web del sistema operativo IOS de Cisco que permite que un administrador conectado ejecute de forma remota comandos arbitrarios en el shell subyacente de Linux de un dispositivo afectado. con privilegios de root.
Después de obtener acceso a la raíz, el administrador deshonesto puede omitir de forma remota el módulo Trust Anchor (TAm) en un dispositivo objetivo utilizando la vulnerabilidad Thrangrycat e instalar una puerta trasera maliciosa.
Esto es lo que hace que esta vulnerabilidad sea más grave:
«Al encadenar las vulnerabilidades de inyección de comando remoto y 😾😾😾, un atacante puede eludir de forma remota y persistente el mecanismo de arranque seguro de Cisco y bloquear todas las futuras actualizaciones de software para el TAm», dijeron los investigadores.
«Dado que las fallas residen en el diseño del hardware, es poco probable que algún parche de seguridad del software resuelva por completo la vulnerabilidad de seguridad fundamental».
Si bien los investigadores probaron las vulnerabilidades contra los enrutadores Cisco ASR 1001-X, cientos de millones de unidades de Cisco que ejecutan un TAm basado en FPGA en todo el mundo, que incluye todo, desde enrutadores empresariales hasta conmutadores de red y firewalls, son vulnerables.
Red Balloon Security informó de forma privada los problemas a Cisco en noviembre de 2018 y solo dio a conocer algunos detalles al público después de que Cisco emitió parches de firmware para abordar ambas fallas y enumeró todos los productos afectados.
Cisco dijo que la compañía no detectó ataques que explotaran ninguna de estas dos vulnerabilidades.
Los detalles completos de las vulnerabilidades se darán a conocer en la conferencia de seguridad Black Hat USA de este año en agosto.