Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Miljoenen Cisco-routers zijn kwetsbaar voor aanhoudend uitschakelen Trust Anchor

Beveiligingsonderzoekers hebben twee ernstige kwetsbaarheden van Cisco-routers aangetroffen en deze de naam Thrangrycat gegeven. Met de kwetsbaarheden is de Trust Anchor-beveiliging blijvend uit te schakelen.

Red Balloon Security trof de kwetsbaarheden aan in de Cisco-producten. De onderzoekers beschrijven Thrangrycat, of 😾😾😾, op een speciaal daarvoor gemaakte pagina. De twee kwetsbaarheden zijn gecombineerd in te zetten en de ernstigste betreft de Trust Anchor-beveiligingsmodule, of TAm, van Cisco. De onderzoekers hebben aangetoond dat ze die beveiliging in een Cisco ASR 1001-X-router kunnen omzeilen, maar denken dat TAm-implementaties bij andere Cisco-producten ook kwetsbaar zijn.

Cisco gebruikt de Trust Anchor-module al sinds 2013 in onder andere switches, routers en firewalls, waarmee een kwetsbaarheid in de module miljoenen in gebruik zijnde apparaten treft. Trust Anchor is de hardware die de integriteit van de firmware op Cisco-producten valideert en daarmee de basis vormt voor de Secure Boot-startprocedure. De onderzoekers beschrijven dat een fpga bij Trust Anchor bij het starten een onversleutelde bitstream laadt vanaf een serial peripheral interface- of spi-flashchip. Als de fpga detecteert dat de pre-boot-omgeving niet in orde is, activeert deze de reset-pin van de processor voor een reboot.

De eerste stap voor een geslaagde Thrangrycat-aanval betreft het misbruik maken van een command injection-kwetsbaarheid in versie 16 van Cisco IOS XE. Deze stap maakt het uitvoeren van code op afstand met root mogelijk. Hierdoor kan stap twee volgen; dankzij rootprivilege kan de aanvaller de inhoud van de fpga-bitstream aanpassen, die onversleuteld is. Daardoor zijn kritieke functies van de TAm uit te schakelen en die aanpassingen kunnen blijvend zijn. Ook na het opnieuw starten blijft de beveiliging van de TAm uitgeschakeld. De wijzigingen in de bitstream kunnen voorkomen dat Cisco software-updates doorvoert.

Cisco heeft een patch voor de kwetsbaarheid in IOS aangekondigd en een lijst van kwetsbare producten opgesteld. Voor sommige producten komen de fixes in mei, maar de meeste producten krijgen deze pas na maanden, tot november aan toe. In de tussentijd zijn er geen work-arounds volgens Cisco. Bovendien zijn de patches niet eenvoudig door te voeren. "In de meeste gevallen vereist de fix het opnieuw programmeren op locatie van een low-level hardwareonderdeel dat vereist is voor de normale werking van het apparaat."

Door Olaf van Miltenburg

Nieuwscoördinator

14-05-2019 • 10:45

62 Linkedin Google+

Submitter: hgkertjed

Reacties (62)

Wijzig sortering

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Networking en security

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True