Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Miljoenen Cisco-routers zijn kwetsbaar voor aanhoudend uitschakelen Trust Anchor

Beveiligingsonderzoekers hebben twee ernstige kwetsbaarheden van Cisco-routers aangetroffen en deze de naam Thrangrycat gegeven. Met de kwetsbaarheden is de Trust Anchor-beveiliging blijvend uit te schakelen.

Red Balloon Security trof de kwetsbaarheden aan in de Cisco-producten. De onderzoekers beschrijven Thrangrycat, of 😾😾😾, op een speciaal daarvoor gemaakte pagina. De twee kwetsbaarheden zijn gecombineerd in te zetten en de ernstigste betreft de Trust Anchor-beveiligingsmodule, of TAm, van Cisco. De onderzoekers hebben aangetoond dat ze die beveiliging in een Cisco ASR 1001-X-router kunnen omzeilen, maar denken dat TAm-implementaties bij andere Cisco-producten ook kwetsbaar zijn.

Cisco gebruikt de Trust Anchor-module al sinds 2013 in onder andere switches, routers en firewalls, waarmee een kwetsbaarheid in de module miljoenen in gebruik zijnde apparaten treft. Trust Anchor is de hardware die de integriteit van de firmware op Cisco-producten valideert en daarmee de basis vormt voor de Secure Boot-startprocedure. De onderzoekers beschrijven dat een fpga bij Trust Anchor bij het starten een onversleutelde bitstream laadt vanaf een serial peripheral interface- of spi-flashchip. Als de fpga detecteert dat de pre-boot-omgeving niet in orde is, activeert deze de reset-pin van de processor voor een reboot.

De eerste stap voor een geslaagde Thrangrycat-aanval betreft het misbruik maken van een command injection-kwetsbaarheid in versie 16 van Cisco IOS XE. Deze stap maakt het uitvoeren van code op afstand met root mogelijk. Hierdoor kan stap twee volgen; dankzij rootprivilege kan de aanvaller de inhoud van de fpga-bitstream aanpassen, die onversleuteld is. Daardoor zijn kritieke functies van de TAm uit te schakelen en die aanpassingen kunnen blijvend zijn. Ook na het opnieuw starten blijft de beveiliging van de TAm uitgeschakeld. De wijzigingen in de bitstream kunnen voorkomen dat Cisco software-updates doorvoert.

Cisco heeft een patch voor de kwetsbaarheid in IOS aangekondigd en een lijst van kwetsbare producten opgesteld. Voor sommige producten komen de fixes in mei, maar de meeste producten krijgen deze pas na maanden, tot november aan toe. In de tussentijd zijn er geen work-arounds volgens Cisco. Bovendien zijn de patches niet eenvoudig door te voeren. "In de meeste gevallen vereist de fix het opnieuw programmeren op locatie van een low-level hardwareonderdeel dat vereist is voor de normale werking van het apparaat."

Door Olaf van Miltenburg

Nieuwscoördinator

14-05-2019 • 10:45

62 Linkedin Google+

Submitter: hgkertjed

Reacties (62)

Wijzig sortering
Ik ben meer dan eens firewalls tegengekomen waar IP ranges als "85.111.224.0/4" in voorkwamen. De /4 had een /24 moeten zijn, en de firewall staat met deze regel 80.0.0.0 t/m 95.255.255.254 toe. Je staat er van te kijken hoeveel firewalls niet protesteren als je een IP range zo configureert. Met /0 op het eind staat het zelfs voor de hele wereld open... Ook meermalen gezien. Tikfoutje is zo gemaakt! Alleen met een regelmatige scan van buiten je netwerk heb je enige kans dit te vangen, en dan nog moet je mazzel hebben...
Een gelaagde zonering zou dat moeten voorkomen, in jouw voorbeeld is het management netwerk dus direct verbonden met internet middels een enkele firewall.
Precies mijn punt. We leiden hier aan een selectieve blindheid waar je "u" tegen zegt. Deze stelregel geldt voor alle vormen van vriendschap: zij die je vertrouwt bespioneer je niet. Gebeurt dit wel, dan ben je geen vriend. Eén van de basisfundamenten van vriendschap is vertrouwen. Is dat er niet, dan... vul zelf maar in. ;)
Interessant stuk over die side channel aanvallen! :)
Blijkbaar voegt iig Xilinx hun versleuteling dus weinig toe helaas.

Ik weet niet hoe dit voor Altera of Lattice is, maar ik ga er voor de discussie nu even vanuit dat dit ook compleet niet bruikbaar is.

Waarom denk je dat een signature check niet bruikbaar is in dit geval? Als je de FPGA zo aansluit dat de rest van het systeem fysiek niet aan de flashchip vast zit dan zal de FPGA zelf zijn flashchip moeten herprogrammeren. Je kunt dan in je FPGA design zo veel check bouwen als je wilt.

Tegen fysieke toegang gaat dat je niet helpen inderdaad, maar wel tegen een (zoals in het artikel omschreven) exploit waarbij je eerst root wordt en dan de FPGA firmware overschrijft.
Waarom denk je dat een signature check niet bruikbaar is in dit geval? Als je de FPGA zo aansluit dat de rest van het systeem fysiek niet aan de flashchip vast zit dan zal de FPGA zelf zijn flashchip moeten herprogrammeren. Je kunt dan in je FPGA design zo veel check bouwen als je wilt.

Tegen fysieke toegang gaat dat je niet helpen inderdaad, maar wel tegen een (zoals in het artikel omschreven) exploit waarbij je eerst root wordt en dan de FPGA firmware overschrijft.
De flashchip zit via een mux aan zowel de CPU als de FPGA. Dat hardware design is achteraf niet aan te passen. Maar het ziet er naar uit dat je gelijk hebt. Als ik het bug report van bijv. de ASA lees, zie ik dat de fix een validatie slag in het update proces is.

"The vulnerability is due to an improper check on the area of code that manages on-premise updates to a Field Programmable Gate Array (FPGA) part of the Secure Boot hardware implementation."
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvn77246
Je hebt een stukje in de tekst van het originele artikel over het hoofd gezien vermoed ik @Barreljan

Er is namelijk ook momenteel een lek in Cisco IOS XE 16 waarmee je die rechten kan verkrijgen. Door deze 2 kwetsbaarheden te combineren zijn de devices kwetsbaar. Het gaat dus niet om het bewust of onbewust open zetten van privileged administrative access ;)
Tja als je al hun producten op 1 hoop veegt dan komt er inderdaad van tijd tot tijd wat naar voren. Wanneer je de focus hebt op 1 product serie dan valt het onwijs mee.

Vergeet niet dat cisco producten ontzettend breed zijn, cisco producten op verschillende lagen van het osi model actief zijn en dat ze wereldwijd gebruikt worden. Dat alles maakt het tot een zeer geliefd doelwit.
In the majority of the cases above, the backdoor accounts were nothing more than debugging profiles that have been left inside Cisco software/firmware after factory testing or debugging operations.
Dus jij vind, dat dit soort zaken mogen gebeuren, bij een bedrijf van deze omvang en al meer dan 25 jaar ervaring op het gebied van secuirty?
Ik ben benieuwd waar jij leest dat ik beweer dat ik alle bugs/security lekken even netjes vind. Die bewering heb ik nergens gedaan.
Five of the seven backdoor accounts were discovered by Cisco's internal testers, with only CVE-2018-0329 and this month's CVE-2018-15439 being found by external security researchers.
Cisco is zelf ook gewoon continu aan het evalueren en testen. Dat blijkt ook wel als je het bovenstaande leest op https://www.zdnet.com/art...r-and-thats-a-good-thing/

De lijst met alle Cisco Security Advisories and Alerts waar @dixet op doelde maar niet correct naar linkte (moet namelijk https://tools.cisco.com/security/center/publicationListing.x zijn), bevat een overzicht van alle producten welke ze voeren. Dit gaat van producten voor monitoring tot DNS software tot routers tot switches enz. Pak je 1 serie van een product dan is er bijna niets meer over van die lijst.

Dat ze Security Advisories and Alerts vinden, publiceren en fiksen zegt dat ze iig doorlopend bezig zijn met het verbeteren van hun producten.
Zou goed zijn moest Tweakers het soort waarschuwing zoals bij die magnetron hier dan ook zetten:

Het is niet omdat onze journalisten klakkeloos dingen uit Westerse mainstream media overnemen, dat er op Tweakers alleen maar feiten staan.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 AMD

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True