Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Miljoenen Cisco-routers zijn kwetsbaar voor aanhoudend uitschakelen Trust Anchor

Beveiligingsonderzoekers hebben twee ernstige kwetsbaarheden van Cisco-routers aangetroffen en deze de naam Thrangrycat gegeven. Met de kwetsbaarheden is de Trust Anchor-beveiliging blijvend uit te schakelen.

Red Balloon Security trof de kwetsbaarheden aan in de Cisco-producten. De onderzoekers beschrijven Thrangrycat, of 😾😾😾, op een speciaal daarvoor gemaakte pagina. De twee kwetsbaarheden zijn gecombineerd in te zetten en de ernstigste betreft de Trust Anchor-beveiligingsmodule, of TAm, van Cisco. De onderzoekers hebben aangetoond dat ze die beveiliging in een Cisco ASR 1001-X-router kunnen omzeilen, maar denken dat TAm-implementaties bij andere Cisco-producten ook kwetsbaar zijn.

Cisco gebruikt de Trust Anchor-module al sinds 2013 in onder andere switches, routers en firewalls, waarmee een kwetsbaarheid in de module miljoenen in gebruik zijnde apparaten treft. Trust Anchor is de hardware die de integriteit van de firmware op Cisco-producten valideert en daarmee de basis vormt voor de Secure Boot-startprocedure. De onderzoekers beschrijven dat een fpga bij Trust Anchor bij het starten een onversleutelde bitstream laadt vanaf een serial peripheral interface- of spi-flashchip. Als de fpga detecteert dat de pre-boot-omgeving niet in orde is, activeert deze de reset-pin van de processor voor een reboot.

De eerste stap voor een geslaagde Thrangrycat-aanval betreft het misbruik maken van een command injection-kwetsbaarheid in versie 16 van Cisco IOS XE. Deze stap maakt het uitvoeren van code op afstand met root mogelijk. Hierdoor kan stap twee volgen; dankzij rootprivilege kan de aanvaller de inhoud van de fpga-bitstream aanpassen, die onversleuteld is. Daardoor zijn kritieke functies van de TAm uit te schakelen en die aanpassingen kunnen blijvend zijn. Ook na het opnieuw starten blijft de beveiliging van de TAm uitgeschakeld. De wijzigingen in de bitstream kunnen voorkomen dat Cisco software-updates doorvoert.

Cisco heeft een patch voor de kwetsbaarheid in IOS aangekondigd en een lijst van kwetsbare producten opgesteld. Voor sommige producten komen de fixes in mei, maar de meeste producten krijgen deze pas na maanden, tot november aan toe. In de tussentijd zijn er geen work-arounds volgens Cisco. Bovendien zijn de patches niet eenvoudig door te voeren. "In de meeste gevallen vereist de fix het opnieuw programmeren op locatie van een low-level hardwareonderdeel dat vereist is voor de normale werking van het apparaat."

Door Olaf van Miltenburg

Nieuwscoördinator

14-05-2019 • 10:45

62 Linkedin Google+

Submitter: hgkertjed

Reacties (62)

Wijzig sortering
Ik had begrepen dat je al root (Administrator) rechten op het apparaat moet hebben om gebruik te kunnen maken van deze kwetsbaarheid:
https://www.zdnet.com/art...-backdoors-on-cisco-gear/
...
Modifying this bitstream requires root access to the device, meaning that hackers can use the Thrangrycat vulnerability to modify the TAm unless they already compromised Cisco devices to the core.
...
Je moet dus eerst root rechten hebben op het apparaat. Als je die root rechten hebt dan kan je toch al veel meer aanrichten op die router/firewall?
Wat is er dan zo bijzonder aan deze kwetsbaarheid? Ik snap dat het niet de bedoeling is dat je de TAm moet kunnen beïnvloeden want daarmee kan je bewerkte images gebruiken in de routers/firewalls, maar dit kan je dus enkel uitvoeren wanneer je root rechten hebt.

Edit:
Heb er nog iets meer over gelezen, er zijn dus 2 kwetsbaarheden. Dus hier het "aha" moment:
Kwetsbaarheid 1 = TAm welke je kunt bewerken wanneer je root rechten hebt.
Kwetsbaarheid 2 = via webinterface van Cisco IOS XE software, waardoor je die root rechten kunt bemachtigen

De combinatie van de 2 kwetsbaarheden maakt je apparaat dus kwetsbaar voor aanvallers van buitenaf.
Zie hier de lijst van apparaten die Cisco IOS XE ondersteunen:
https://www.cisco.com/c/e...e/index.html#~stickynav=1

[Reactie gewijzigd door Roy23 op 14 mei 2019 11:05]

Internet rule 503:

Whenever a discussion on a mailing list, newsgroup, forum or other platform on internet about security flaws in [Cisco|Huawei|VendorX] [Routers|Switches|Modems|Servers] becomes sufficiently long, someone will invariably:
a) Claim that said vulnerability is intentional and constitutes a backdoor
b) Mention the NSA and/or other three letter US federal agencies
c) Claim that [VendorX] is unfairly treated by the press coverage
d) Tangently claim that [VendorX]'s competitor is unfairly treated by press coverage
e) Invoke the Trump card and call it fake news
f) Claim that a) through e) only happen because some [state|company|new world order] actor wants to divert attention from the real issues.
g) Call it a clear example of 'internet rule 503'

;P
Op https://tools.cisco.com/s...co-sa-20190513-secureboot staat onder aan de pagina een overzichtje van alle getroffen hardware. Daar staan zo te zien deze niet tussen ;)
Je kunt uiteraard wel wat feitelijk bewijs laten zien dat huawei ook backdoors heeft ingebouwd voor de chinese overheid?

Zover ik in alle nieuwsberichten heb gezien is er nog steeds 0.0 bewijs voor dat huawei express backdoors heeft ingebouwd terwijl cisco hier al op gepakt is.

Dat Huawei contacten heeft me de chinese overheid is logisch ( Denk je dat Nlse multinationals en andere grote spelers in nederland niet een lijntje hebben naar de overheid aangezien een land meestal trots is op hun grote spelers / Shell bijv zit ook gewoon om de tafel met de overheid) of dan ook backdoors ingebouwd worden is een geheel andere vraag en zonder bewijs is het niks anders dan een aanname.

Vanuit een bedrijf is het ook gewoon slim om lijntjes te hebben met de overheid waar je bedrijf gevestigd is zodat je invloed kunt uitoefenen of eerder op de hoogte bent van trends.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Apple

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True