Google

ThrAngryCat

Written on:May 16, 2019
Comments
Add One

Investigadores han descubierto una vulnerabilidad que permite a los atacantes implantar un backdoor persistente en dispositivos de Cisco utilizados a nivel mundial, estos dispositivos pueden ser router, switches y Firewalls.

Red Ballon Security, fueron los investigadores que encontraron la vulnerabilidad en los dispositivo Cisco.

La vulnerabilidad fue nombrada Thrangrycat, esta vulnerabilidad permite al atacante brincar por completo el Cisco Trust Anchor Module(TAm) via Fiel Programmable Gate Array(FPGA)  manipulando el flujo de bits.

Que es Cisco’s Trust Anchor ?

Cisco cuenta con un proceso para asegurarse que el inicio de los aparatos inicien correctamente, verificando la integridad de Firmware(Cisco Secure Boot). Adicional a esto Cisco desarrolló por separado una pieza de hardware con un propósito especial , lo que realiza este hardware es leer la primera instrucción de arranque, verifica la integridad del gestor de arranque (bootloader) y si existe algún problema alerta al usuario y se reinicia, para poder evitar que se ejecute un bootloader modificado.

La vulnerabilidad en TAm consiste en que un atacante con privilegios de root sobre el dispositivo puede modificar el contenido de FPGA, el cual está almacenado en una memoria Flash dentro del equipo.

Los elementos de este bitstream pueden ser modificados para deshabilitar funciones críticas en el TAm

Las modificaciones que se realicen son persistentes y la secuencia de arranque quedaría deshabilitada.

También es posible bloquear cualquier actualización en el TAm.

Cisco había comentado que para poder explotar esta vulnerabilidad era necesario tener acceso físico y privilegio de administrador sobre los equipos.

Sin embargo, Los investigadores demostraron que este ataque puede ser explotado remotamente con una vulnerabilidad que también descubrieron ellos (CVE-2019-1862), esta vulnerabilidad fue encontrada en la interface Web de los Cisco’s IOS, la cual permite que un administrador autenticado pueda ejecutar comandos arbitrarios en el Shell de Linux de un dispositivo afectado.

Despues de que se tenga acceso a root de forma remota, se puede brincar el Trust Anchor module(TAm) sobre el equipo y usando la vulnerabilidad Thrangrycat instalar un backdoor persistente.

Hasta el momento no se ha liberado ningún parche necesario para solucionar esta vulnerabilidad, pero al ser un error en diseño a nivel hardware, será difícil liberar un parche que pueda eliminar esta vulnerabilidad de forma completa.

referencia:
https://hackerops.com/thrangrycat/

Fuentes:
https://thehackernews.com/2019/05/cisco-secure-boot-bypass.html
https://thrangrycat.com/
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-webui
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot

Leave a Comment

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: