[Cảnh báo] Lỗ hổng bảo mật nghiêm trọng trên các thiết bị Cisco có thể cho phép tin tặc chèn backdoor lên thiết bị

Các nhà nghiên cứu bảo mật mới đây đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng trong các sản phẩm của Cisco. Theo đó, lỗ hổng này có thể cho phép tin tặc chèn các cửa hậu (backdoor) lên các thiết bị được sử dụng bởi các doanh nghiệp và tổ chức chính phủ, bao gồm các bộ định tuyến, thiết bị chuyển mạch và tường lửa.

[Cảnh báo] Lỗ hổng bảo mật nghiêm trọng trên các thiết bị Cisco có thể cho phép tin tặc chèn backdoor lên thiết bị - CyberSec365.org

Lỗ hổng bảo mật này (có mã hiệu CVE-2019-1649) được đặt tên là Thrangrycat hoặc 😾😾😾, được phát hiện bởi các nhà nghiên cứu bảo mật thuộc hãng bảo mật Red Balloon, ảnh hưởng đến nhiều sản phẩm của Cisco hỗ trợ mô-đun Trust Anchor (TAm).

Mô-đun Trust Anchor (TAm) là chức năng Secure Boot dựa trên phần cứng được triển khai trong hầu hết các thiết bị doanh nghiệp của Cisco kể từ năm 2013, đảm bảo firmware chạy trên nền tảng phần cứng là xác thực và không bị thay đổi.

Tuy nhiên, các nhà nghiên cứu đã tìm thấy một loạt các lỗi thiết kế phần cứng có thể cho phép kẻ tấn công được thực hiện sửa đổi liên tục cho mô-đun Trust Anchor thông qua sửa đổi dòng bit của FPGA và tải bộ tải bootloader độc hại.

"An attacker with root privileges on the device can modify the contents of the FPGA anchor bitstream, which is stored unprotected in flash memory. Elements of this bitstream can be modified to disable critical functionality in the TAm," researchers said.

"Successful modification of the bitstream is persistent, and the Trust Anchor will be disabled in subsequent boot sequences. It is also possible to lock out any software updates to the TAm's bitstream."

Kết hợp với lỗ hổng kết nối từ xa: tấn công không cần truy cập vật lý

 Do việc khai thác lỗ hổng đòi hỏi phải có quyền root, một lời khuyên do Cisco đưa ra nhấn mạnh rằng chỉ có kẻ tấn công cục bộ có quyền truy cập vật lý vào hệ thống được nhắm mục tiêu mới có thể chỉnh sửa firmware.
Tuy nhiên, các nhà nghiên cứu của Red Balloon giải thích rằng những kẻ tấn công cũng có thể khai thác lỗ hổng Thrangrycat từ xa bằng cách kết nối nó với các lỗ hổng khác có thể cho phép chúng có quyền truy cập root hoặc ít nhất là thực thi các lệnh dưới quyền root.
Để chứng minh cuộc tấn công này, các nhà nghiên cứu đã tiết lộ lỗ hổng RCE (CVE-2019-1862) trong giao diện web của hệ điều hành IOS của Cisco, cho phép quản trị viên đăng nhập thực hiện các lệnh tùy ý trên nền Linux bên dưới của thiết bị bị ảnh hưởng với quyền root.
Sau khi có quyền truy cập root, tin tặc có thể bỏ qua mô-đun Trust Anchor (TAm) từ xa trên thiết bị được nhắm mục tiêu bằng cách sử dụng lỗ hổng Thrangrycat và cài đặt một cửa hậu độc hại.

Và... Lỗ hổng này còn nghhiêm trọng hơn bạn tưởng

"By chaining the 😾😾😾 and remote command injection vulnerabilities, an attacker can remotely and persistently bypass Cisco’s secure boot mechanism and lock out all future software updates to the TAm," researchers said.

"Since the flaws reside within the hardware design, it is unlikely that any software security patch will fully resolve the fundamental security vulnerability."

 Trong khi các nhà nghiên cứu đã kiểm tra các lỗ hổng chống lại bộ định tuyến Cisco ASR 1001-X, hàng trăm triệu đơn vị của Cisco chạy TAm dựa trên nền tảng FPGA trên thế giới, bao gồm mọi thứ từ bộ định tuyến doanh nghiệp đến bộ chuyển mạch mạng và tường lửa dễ bị tấn công.
Red Balloon Security đã báo cáo riêng các vấn đề với Cisco vào tháng 11 năm 2018 và chỉ công bố một số chi tiết cho công chúng sau khi Cisco ban hành các bản vá firmware để giải quyết cả hai lỗi và liệt kê tất cả các sản phẩm bị ảnh hưởng.
Cisco cho biết công ty đã không phát hiện các cuộc tấn công khai thác bất kỳ lỗ hổng nào trong hai lỗ hổng này.
Chi tiết đầy đủ về các lỗ hổng sẽ được phát hành tại hội nghị bảo mật Black Hat USA năm nay vào tháng 8.

Nguồn: The Hacker News