La società Red Balloon ha scoperto una grave vulnerabilità soprannominata Thrangrycat nei prodotti Cisco, decine di milioni di dispositivi a rischio.
Gli esperti dell’azienda di sicurezza Red Balloon hanno rivelato l’esistenza di due vulnerabilità nei prodotti Cisco. La prima falla denominata Thrangrycat è identificata come CVE-2019-1649, affligge molti prodotti Cisco che supportano il modulo Trust Anchor (TAm).
Il modulo Trust Anchor (TAm) è un componente basato su hardware che consente di verificare che l’hardware Cisco sia autentico, inoltre implementa anche servizi di sicurezza aggiuntivi.
Cisco Secure Boot garantisce che il codice in esecuzione sulle piattaforme hardware Cisco autentico e non modificato, è disponibile nei dispositivi Cisco dal 2013.
La vulnerabilità potrebbe essere sfruttata da un utente malintenzionato per bypassare completamente il modulo Cisco Trust Anchor (TAm) tramite la manipolazione del bitstream Field Programmable Gate Array (FPGA).
La seconda vulnerabilità, identificata come CVE-2019-1862, è una falla che affligge Cisco IOS XE versione 16 e consente l’iniezione di comandi da remoto. La vulnerabilità potrebbe consentire ad utenti malintenzionati di eseguire codice con privilegi di “root” da remoto.
Concatenando le due vulnerabilità è possibile bypassare in modo permanente e persistente il meccanismo di avvio sicuro e bloccare tutti i futuri aggiornamenti software sul TAm.
“Una vulnerabilità nella logica che gestisce il controllo degli accessi a uno dei componenti hardware dell’implementazione proprietaria di Secure Boot di Cisco potrebbe consentire a un utente malintenzionato locale ed autenticato di scrivere un’immagine del firmware modificata sul componente.” Si legge sull’advisory pubblicato da Cisco. “Questa vulnerabilità interessa più prodotti Cisco che supportano la funzionalità Secure Boot implementata a livello hardware“
Che cosa hanno scoperto i ricercatori
I ricercatori hanno scoperto che un utente malintenzionato con privilegi di root può apportare modifiche persistenti al modulo Trust Anchor tramite la modifica del flusso di bit FPGA e caricare un bootloader malevolo.
In poche parole, sfruttando la vulnerabilità è possibile far si che i dispositivi vengano avviati caricando un codice malevolo ed è possibile impedire futuri aggiornamenti dello stesso, in pratica l’attaccante potrebbe creare una backdoor che gli consenta di gestire in remoto i dispositivo.
“Un utente malintenzionato con i privilegi di root sul dispositivo può modificare il contenuto del flusso di bit di ancoraggio FPGA, che non viene salvato nella memoria flash.” Si legge nell’analisi pubblicata dagli esperti.
“Gli elementi di questo bitstream possono essere modificati per disabilitare funzionalità critiche nel TAm. La modifica riuscita del flusso di bit è persistente ed il componente Trust Anchor verrà disattivato negli avvii successivi. È anche possibile bloccare tutti gli aggiornamenti software sul bitstream di TAm.”
Cisco ha classificato il difetto con severità ‘HIGH’ e ha assegnato allo stetto un punteggio CVSS di 6.7 su 10, questo perché lo sfruttamento della falla richiede i privilegi di root. Tuttavia, gli esperti di Red Balloon hanno sottolineato che gli hacker potrebbero anche sfruttare la vulnerabilità di Thrangrycat in remoto concatenando la vulnerabilità ad altre falle che potrebbero consentire loro di ottenere l’accesso come root o, almeno, di eseguire i comandi come root.
“Un utente malintenzionato con privilegi elevati e accesso al sistema operativo sottostante in esecuzione sul dispositivo interessato può sfruttare questa vulnerabilità scrivendo un’immagine del firmware modificata nell’FPGA”. Continua l’advisory pubblicato da Cisco. “Un exploit di successo potrebbe rendere il dispositivo inutilizzabile (e richiedere una sostituzione dell’hardware) o consentire la manomissione del processo di verifica dell’avvio protetto, che in alcune circostanze potrebbe consentire all’autore dell’attacco di installare e avviare un’immagine di software dannoso”.
Riassumendo, gli hacker potrebbero sfruttare dapprima la vulnerabilità RCE (CVE-2019-1862) nell’interfaccia utente Web dell’IOS di Cisco che consente a un amministratore registrato di eseguire in remoto comandi arbitrari con privilegi di root attraverso una shell.
Quindi, una volta ottenuto l’accesso root, l’utente malintenzionato può bypassare il modulo Trust Anchor (TAm) su un dispositivo target sfruttando la vulnerabilità Thrangrycat ed installare quindi una backdoor. Le falle sono molto gravi perché risiedono nell’hardware del dispositivo e non possono essere risolte con una patch software.
“Dal momento che i difetti si trovano all’interno della progettazione hardware, è improbabile che qualsiasi patch di sicurezza software risolva completamente la vulnerabilità di sicurezza fondamentale.” Conclude l’advisory pubblicato da Red Balloon.
Gli esperti hanno testato con successo il problema dei router Cisco ASR 1001-X, ma centinaia di milioni di unità Cisco con un’implementazione TAm basata su FPGA sono vulnerabili.
Red Balloon ha segnalato i difetti a Cisco nel novembre 2018 ed ha rivelato pubblicamente solo alcuni dettagli dopo che Cisco ha rilasciato la patch del firmware per risolvere le vulnerabilità.
La buona notizia è che Cisco non è a conoscenza di attacchi che abbiano sfruttano le due vulnerabilità.
