Наш канал в TelegramRed Balloon Security обнаружила уязвимость высокого уровня риска в процессе безопасной загрузки Cisco, которая затрагивает широкий спектр продуктов Cisco, используемых в корпоративных и государственных сетях, включая маршрутизаторы, коммутаторы и брандмауэры.
Уязвимость под кодовым названием Thrangrycat вызвана рядом недостатков проектирования аппаратных средств в модуле Trust Anchor. Модуль Cisco Trust Anchor ( TAm ), впервые представленный на коммерческой основе в 2013 году, представляет собой запатентованный аппаратный модуль безопасности, который используется в широком спектре продуктов Cisco, включая корпоративные маршрутизаторы, коммутаторы и брандмауэры. TAm является корнем доверия, который лежит в основе всех других механизмов безопасности Cisco и надежных вычислительных механизмов в этих устройствах.
Уязвимость Thrangrycat позволяет злоумышленнику постоянно вносить изменения в модуль якоря доверия с помощью удаленной эксплуатации, тем самым нанося ущерб процессу безопасной загрузки и аннулируя цепочку доверия Cisco в его корне.
Хотя недостатки основаны на аппаратном обеспечении, Thrangrycat можно использовать удаленно, без физического доступа. Поскольку недостатки Thrangrycat находятся в структуре аппаратного обеспечения, исследователи Red Balloon Security полагают, что маловероятно, что какое-либо исправление безопасности программного обеспечения полностью устранит фундаментальную уязвимость безопасности.
«Это серьезный недостаток безопасности, который потенциально подвергает большое количество корпоративных, правительственных и даже военных сетей удаленным атакам», – сказал д-р Ang Cui, основатель и главный научный сотрудник Red Balloon Security. «Мы говорим о десятках миллионов устройств, потенциально подверженных этой уязвимости, многие из которых находятся внутри чувствительных сетей. Эти продукты Cisco составляют основу безопасной связи для этих организаций, и все же мы можем использовать их для постоянного владения своими сетями. Исправить эту проблему непросто, потому что для ее исправления требуется физическая замена чипа в основе системы Trust Anchor. Патч прошивки поможет компенсировать риски, но не устранит их полностью. Это реальная опасность, и это будет трудно для компаний,
Thrangrycat дистанционно эксплуатируется
Уязвимость используется для удаленного использования и предоставляет злоумышленникам бэкдор в безопасные сети, что позволяет им обходить средства защиты от кибербезопасности, чтобы получить полный и постоянный доступ внутри сети.
Злоумышленник может удаленно использовать эту уязвимость для перехвата сообщений, кражи или манипулирования данными, установки скрытых имплантатов и проведения дальнейших атак на другие подключенные устройства. Исследователи Red Balloon Security продемонстрировали физическое разрушение маршрутизаторов Cisco, используя Thrangrycat посредством удаленной эксплуатации.
Что ты можешь сделать?
Red Balloon Security тесно сотрудничает с группой реагирования на инциденты безопасности продуктов Cisco (PSIRT) для устранения этой уязвимости .
Cisco находится в процессе разработки и выпуска исправлений программного обеспечения для всех затронутых платформ. В большинстве случаев для исправления потребуется локальное перепрограммирование низкоуровневого аппаратного компонента, необходимого для нормальной работы устройства.
Исправления встроенного ПО уже доступны для Cisco ASA серии 5500-X со службами FirePOWER и устройств безопасности Cisco Firepower 2100, 4000 и 9000. Другие обновления безопасности – и их будет много – планируется выпустить в ближайшие три месяца (июнь-август 2019 года).
Источник: https://video24.org
