Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Miljoenen Cisco-routers zijn kwetsbaar voor aanhoudend uitschakelen Trust Anchor

Beveiligingsonderzoekers hebben twee ernstige kwetsbaarheden van Cisco-routers aangetroffen en deze de naam Thrangrycat gegeven. Met de kwetsbaarheden is de Trust Anchor-beveiliging blijvend uit te schakelen.

Red Balloon Security trof de kwetsbaarheden aan in de Cisco-producten. De onderzoekers beschrijven Thrangrycat, of 😾😾😾, op een speciaal daarvoor gemaakte pagina. De twee kwetsbaarheden zijn gecombineerd in te zetten en de ernstigste betreft de Trust Anchor-beveiligingsmodule, of TAm, van Cisco. De onderzoekers hebben aangetoond dat ze die beveiliging in een Cisco ASR 1001-X-router kunnen omzeilen, maar denken dat TAm-implementaties bij andere Cisco-producten ook kwetsbaar zijn.

Cisco gebruikt de Trust Anchor-module al sinds 2013 in onder andere switches, routers en firewalls, waarmee een kwetsbaarheid in de module miljoenen in gebruik zijnde apparaten treft. Trust Anchor is de hardware die de integriteit van de firmware op Cisco-producten valideert en daarmee de basis vormt voor de Secure Boot-startprocedure. De onderzoekers beschrijven dat een fpga bij Trust Anchor bij het starten een onversleutelde bitstream laadt vanaf een serial peripheral interface- of spi-flashchip. Als de fpga detecteert dat de pre-boot-omgeving niet in orde is, activeert deze de reset-pin van de processor voor een reboot.

De eerste stap voor een geslaagde Thrangrycat-aanval betreft het misbruik maken van een command injection-kwetsbaarheid in versie 16 van Cisco IOS XE. Deze stap maakt het uitvoeren van code op afstand met root mogelijk. Hierdoor kan stap twee volgen; dankzij rootprivilege kan de aanvaller de inhoud van de fpga-bitstream aanpassen, die onversleuteld is. Daardoor zijn kritieke functies van de TAm uit te schakelen en die aanpassingen kunnen blijvend zijn. Ook na het opnieuw starten blijft de beveiliging van de TAm uitgeschakeld. De wijzigingen in de bitstream kunnen voorkomen dat Cisco software-updates doorvoert.

Cisco heeft een patch voor de kwetsbaarheid in IOS aangekondigd en een lijst van kwetsbare producten opgesteld. Voor sommige producten komen de fixes in mei, maar de meeste producten krijgen deze pas na maanden, tot november aan toe. In de tussentijd zijn er geen work-arounds volgens Cisco. Bovendien zijn de patches niet eenvoudig door te voeren. "In de meeste gevallen vereist de fix het opnieuw programmeren op locatie van een low-level hardwareonderdeel dat vereist is voor de normale werking van het apparaat."

Door Olaf van Miltenburg

Nieuwscoördinator

14-05-2019 • 10:45

62 Linkedin Google+

Submitter: hgkertjed

Reacties (62)

Wijzig sortering
Ik had begrepen dat je al root (Administrator) rechten op het apparaat moet hebben om gebruik te kunnen maken van deze kwetsbaarheid:
https://www.zdnet.com/art...-backdoors-on-cisco-gear/
...
Modifying this bitstream requires root access to the device, meaning that hackers can use the Thrangrycat vulnerability to modify the TAm unless they already compromised Cisco devices to the core.
...
Je moet dus eerst root rechten hebben op het apparaat. Als je die root rechten hebt dan kan je toch al veel meer aanrichten op die router/firewall?
Wat is er dan zo bijzonder aan deze kwetsbaarheid? Ik snap dat het niet de bedoeling is dat je de TAm moet kunnen beïnvloeden want daarmee kan je bewerkte images gebruiken in de routers/firewalls, maar dit kan je dus enkel uitvoeren wanneer je root rechten hebt.

Edit:
Heb er nog iets meer over gelezen, er zijn dus 2 kwetsbaarheden. Dus hier het "aha" moment:
Kwetsbaarheid 1 = TAm welke je kunt bewerken wanneer je root rechten hebt.
Kwetsbaarheid 2 = via webinterface van Cisco IOS XE software, waardoor je die root rechten kunt bemachtigen

De combinatie van de 2 kwetsbaarheden maakt je apparaat dus kwetsbaar voor aanvallers van buitenaf.
Zie hier de lijst van apparaten die Cisco IOS XE ondersteunen:
https://www.cisco.com/c/e...e/index.html#~stickynav=1

[Reactie gewijzigd door Roy23 op 14 mei 2019 11:05]

Inderdaad, een tweetrapskwetsbaarheid! Dit kan alleen maar opzet zijn. Zo'n gecombineerde achterdeur met twee sleutels is moeilijker door de gebruikers te detecteren.

Het is voor kern systemen af te raden om spullen van Cisco nog langer in te zetten. Ik wacht op een EU richtlijn die deze apparatuur in overheidsnetwerken verbiedt.
Internet rule 503:

Whenever a discussion on a mailing list, newsgroup, forum or other platform on internet about security flaws in [Cisco|Huawei|VendorX] [Routers|Switches|Modems|Servers] becomes sufficiently long, someone will invariably:
a) Claim that said vulnerability is intentional and constitutes a backdoor
b) Mention the NSA and/or other three letter US federal agencies
c) Claim that [VendorX] is unfairly treated by the press coverage
d) Tangently claim that [VendorX]'s competitor is unfairly treated by press coverage
e) Invoke the Trump card and call it fake news
f) Claim that a) through e) only happen because some [state|company|new world order] actor wants to divert attention from the real issues.
g) Call it a clear example of 'internet rule 503'

;P
Lijkt mij wel knap. Een ASR router / ios XE apparaat is behoorlijk duur. Zo iets is voornamelijk voor (grotere) bedrijven.

Een persoon met beetje ccna kennis weet dat je management ip’s moet afscheiden. Dan werkt heel de kwetsbaarheid al niet meer

[Reactie gewijzigd door D0phoofd op 14 mei 2019 12:56]

Inderdaad, een tweetrapskwetsbaarheid! Dit kan alleen maar opzet zijn. Zo'n gecombineerde achterdeur met twee sleutels is moeilijker door de gebruikers te detecteren.

Het is voor kern systemen af te raden om spullen van Cisco nog langer in te zetten. Ik wacht op een EU richtlijn die deze apparatuur in overheidsnetwerken verbiedt.
Als het een Chinese device zou zijn, dan zou er onmiddellijk actie ondernomen worden. Maar omdat Cisco Amerikaans is (onze "vrienden"), dan zie ik ineens erg weinig gebeuren. Beetje raar...

[Reactie gewijzigd door Qalo op 14 mei 2019 21:03]

Hij vestigt de aandacht op het feit dat nieuwsorganisaties, inclusief Tweakers, bij soortgelijke problemen met apparaten van Russische of Chinese makelij er zonder enig bewijs met beschuldigingen van opzet geschermd wordt, en hier bij Cisco niet. Waarom vind jij een sarcastische opmerking over die inconsistentie storend?
Gelijke monniken gelijke kappen,

Dit is volgens trumpiaanse logica duidelijk een backdoor met als doel veiligheidsdiensten toegang en controle te hebben over routers
Storend is vooral het meten met twee maten. Wederom zijn er problemen bij een Amerikaanse leverancier van netwerkapparatuur, toch wordt er door een bepaalde overheid en veel media met vingertjes gewezen naar Huawei zonder ook maar enig bewijs. Diezelfde overheid die onlangs een hele berg vliegdekschepen naar de Perzische golf stuurt, diezelfde overheid die allerlei heffingen aan het verzinnen is en waar blijkbaar de halve wereld nog altijd naar luistert. Dit soort acties doen mij steeds meer afvragen waarom we dat blijven doen...
Ik verwacht dat die management interfaces niet Internet-facing openstaan bij de grotere klanten (al is een foutje zo gemaakt...)

Er zijn vast allerlei lieden nu in Shodan op zoek!
Als bij een serieus netwerk de management interface openstaat voor het Internet dan is dat geen foutje meer maar een serieus design-issue :)
Is de 'standaard' door Ziggo geleverde EPC 3928 ook kwetsbaar hiervoor?
Op https://tools.cisco.com/s...co-sa-20190513-secureboot staat onder aan de pagina een overzichtje van alle getroffen hardware. Daar staan zo te zien deze niet tussen ;)
Nu zouden we ook eens alle media moeten opnaaien en moord en brand schreeuwen dat het om een backdoor gaat en niet om een lek, dat gebruikt wordt door de NSA. Word er onderhand een beetje chagrijnig en triggered door. Dat iedereen de VS omarmd en maar vertrouwd, en als papa VS zegt dat land X slecht is, dan huppelt de rest van de wereld erachteraan als makke lammetjes.

[Reactie gewijzigd door AnonymousWP op 14 mei 2019 11:02]

Tweakers gaat hier bewust danwel onbewust ook mee in. Alle Amerikaanse berichten ivm Huawei en wat daaruit vooortvloeide overnemen zonder ook maar iets te zeggen over Cisco en de backdoors van de NSA die erin gezet waren geeft een zeer vertekend beeld.

Als ik het mij goed herinner waren het 2 state senators met belangen in Cisco die begonnen over het verbannen van Huawei. Het was ergens in 2017 dat dit naar buiten kwam, helaas geen bron kunnen vinden.
Dat de fpga die als basis voor alle beveiliging en de bootprocedure an-sich dient een onversleutelde bitstream gebruikt die ook nog eens via software te updaten is zonder verificaties vind ik nogal kwalijk.

De grote fpga fabrikanten bieden ieder een manier aan om een decryptiesleutel in de fpga te branden, waarna die een soort secure boot doet: encrypted flash inlezen, decrypten, verifieren en dan zichzelf starten met die bitstream.

Voorbeeldje: https://www.xilinx.com/su...-bitstream-encryption.pdf

Los daarvan neem ik het ze kwalijk dat de update optie ook geen signature checks doet.

Klinkt bijna als een bewust achtergelaten flaw:
Het is zeer gemakkelijk om een flash chip te herprogrammeren met een soort clip die je er op zet. Zelfde methode als gebruikt wordt om bijvoorbeeld coreboot op een laptop te flashen: SOIC clip met programmer er aan vast op de flashchip en gaan :-). Je ziet echt 0 verschil aan de printplaat of chip, geen solderen nodig.

Een instantie met kwade bedoelingen kan, door een shipment te onderscheppen, zo gemakkelijk een eigen versie van de bitstream flashen, zonder dat de gebruiker dat ooit door gaat krijgen.

Jaren geleden had ik nog gedacht dat het een alu-hoedjes theorie was dat bedrijven dit soort flaws bewust laten zitten, maar inmiddels leven we in een post-snowden tijd waarin alle grote fabrikanten beveiliging aanbieden tegen dit soort aanvallen. Het is bovendien bekend dat de NSA in ieder geval een keer een soortgelijke aanval gedaan heeft: https://arstechnica.com/t...o-router-getting-implant/
Dat de fpga die als basis voor alle beveiliging en de bootprocedure an-sich dient een onversleutelde bitstream gebruikt die ook nog eens via software te updaten is zonder verificaties vind ik nogal kwalijk.

De grote fpga fabrikanten bieden ieder een manier aan om een decryptiesleutel in de fpga te branden, waarna die een soort secure boot doet: encrypted flash inlezen, decrypten, verifieren en dan zichzelf starten met die bitstream.

Voorbeeldje: https://www.xilinx.com/su...-bitstream-encryption.pdf
Die symmetrische sleutels zijn eenvoudig eruit te side-channelen, praktisch vanaf het moment dat Xilinx de functionaliteit lanceerde.
Los daarvan neem ik het ze kwalijk dat de update optie ook geen signature checks doet.
Welk element moet de signature check doen? De program code voor de FPGA zelf is namelijk compromised. Een hacker kan gewoon SIGNATURE_CHECK==TRUE toevoegen aan de microloader.

[Reactie gewijzigd door JackBol op 14 mei 2019 12:36]

Als je dit al leest:
An attacker will need to fulfill all the following conditions to attempt to exploit this vulnerability:
Have privileged administrative access to the device.
en dit:
There are no workarounds that address this vulnerability.
Cisco Guide to Harden Cisco IOS Devices provides information about how to harden the device and secure management access.
Dan is het op zich wel weer duidelijk. Lelijke fout desalniettemin maar je router/device open laten voor de buitenwereld is al stom genoeg.
Dan moet je wel de WebUI aangezet hebben (wat niemand doet) en je management interface aan het Internet gehangen hebben (wat niemand doet).
Dat is een persoonlijke aanname die je daar doet @JackBol.

Helaas ben ik ze in de praktijk al meerdere keren tegen gekomen. Zeker de MKB bedrijven hebben niet altijd de juiste kennis in huis waar de WebUI dan de makkelijke uitweg geeft.

Er zijn ook nog genoeg situaties te bedenken waarbij de aanvaller gebruik maakt van een gasten wifi en zo bij de webinterface zou kunnen komen. Wat in een goed ingericht netwerk uiteraard niet zou moeten kunnen.
Er is wel meer dan alleen Cisco XE schijnbaar lek, volgens de Cisco pagina ;)
Is niet de eerste lek en zeker niet de laatste vulnerabillity die er in de Cisco routers gevonden zal worden. De devices zijn zo populair dat ze een valuable target zijn voor malware en spionage.

It's a great day to be a hacke... pentester.
Besef je je wel hoe veel Cisco apparaten er zijn over de hele wereld and hoe veel die gebruikt worden in zeer belangrijke en zeer goed beschermde locaties? Om bij de Windows of Linux systemen te komen die zo goed beschermd zijn moet je langs allerlei netwerk apparatuur (veel al geheel of deels Cisco apparatuur) zien te komen. Dus een hack van Cisco apparatuur is de beste oplossing omdat je daar me de meeste netwerken op deze planeet kunt binnen dringen en dus bij de servers kan komen die met die netwerken verbonden zijn.

Cisco heeft daar naast een enorme serie producten en er zijn heel erg veel mensen die werken aan de code die die producten draaien waardoor het helemaal niet vreemd is dat er fouten gemaakt worden en er dus hacks mogelijk zijn.

Ik verdedig Cisco niet en ik zou zeker graag zien dat ze hun software wat beter op orde hebben maar ik kan wel begrijpen hoe het komt dat men nog steeds tegen dit soort problemen aanloopt.
In mijn hele carrière (+20jaar) kom ik al Cisco tegen en zolang al lekken.
Een bedrijf wat voor zowat elke feature, weer een extra licentie nodig heeft. Mag je toch verwachten dat zaken als "command injection" niet meer voorkomen?
Hallo, dit zit in code wat pas sinds 2013 gebruikt wordt.

Ja, Cisco heeft heel veel verschillende producten. Maar dat mag geen excuus zijn voor dit soort fouten.
Nu maakt Cisco soms behoorlijk grove fouten maar deze lijkt toch wat lastiger om "opzettelijk" er in te stoppen.
Grappig dat als Huawei een bug heeft die redelijk eenvoudig is iedereen denkt veel mensen denken dat ze het expres hebben gedaan. Maar dat als Cisco een bug heeft die erg lastig is het waarschijnlijk per ongeluk is gegaan. Als ik een backdoor zou maken dan zou ik altijd voor de meest lastige methodes kiezen omdat die het minst opvallen. Het is lastig inschatten of een bug daadwerkelijk een foutje was of dat iets opzettelijk is gedaan.

[Reactie gewijzigd door 3raser op 14 mei 2019 11:14]

Grappig dat als Huawei een bug heeft die redelijk eenvoudig is iedereen denkt dat ze het expres hebben gedaan.
Omdat bepaalde nieuws organisaties dergelijk nieuws de wereld in helpen en bv. Tweakers.net daar netjes aan mee doet zonder het nieuws in context te plaatsen (of zelfs lekker clickbaity teksten neer te zetten). Betekend het nog niet dat iedereen denkt dat dit zo is... Net zoals als er een school in het nieuws komt die vandaag nog predikt dat de wereld plat is of dat deze slechts x duizend jaar oud is omdat toen God hem pas heeft gemaakt... Dat het in het nieuws zo wordt gepresenteerd betekend niet dat opeens iedereen zo denkt. Natuurlijk zijn er altijd een paar die dat wel denken, maar daarom staat er dan ook op een magnetron dat je je baby of kat er niet in moet drogen...
Een gerenomeerd bedrijf dat reeds bewezen backdoors voor de NSA ingebouwd heeft/had:
https://www.infoworld.com...rs-in-cisco-products.html

Edit: Iets betrouwbaardere bron: Cisco bevestigd NSA backdoor - Arstechnica

[Reactie gewijzigd door hottestbrain op 14 mei 2019 12:08]

Ik vind de term backdoor een beetje makkelijk. Alsof het allemaal zo stiekem gebeurt. De Amerikaanse inlichtingendiensten recruiteren openlijk op iedere universiteit. Als de CIA of NSA iets nodig heeft sturen ze geen spionnen ze bellen Cisco gewoon op.

Cisco is net zo nauw verbonden met de Amerikaanse politiek als Huawei met de communistische partij.
Je kunt uiteraard wel wat feitelijk bewijs laten zien dat huawei ook backdoors heeft ingebouwd voor de chinese overheid?

Zover ik in alle nieuwsberichten heb gezien is er nog steeds 0.0 bewijs voor dat huawei express backdoors heeft ingebouwd terwijl cisco hier al op gepakt is.

Dat Huawei contacten heeft me de chinese overheid is logisch ( Denk je dat Nlse multinationals en andere grote spelers in nederland niet een lijntje hebben naar de overheid aangezien een land meestal trots is op hun grote spelers / Shell bijv zit ook gewoon om de tafel met de overheid) of dan ook backdoors ingebouwd worden is een geheel andere vraag en zonder bewijs is het niks anders dan een aanname.

Vanuit een bedrijf is het ook gewoon slim om lijntjes te hebben met de overheid waar je bedrijf gevestigd is zodat je invloed kunt uitoefenen of eerder op de hoogte bent van trends.
Als niet backdoor, hoe zou je het noemen dan als je je klanten er niet van te voren van op de hoogte stelt?

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Groot-Brittanie

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True