Thrangrycat kwetsbaarheid kan worden gebruikt voor malware invasie in Cisco-apparatuur

IT-security experts ontdekt gevaarlijke bug in Cisco beschermde load mechanisme dat een breed scala aan producten die worden gebruikt in de overheid en bedrijfsnetwerken getroffen, inclusief routers, collectoren en firewalls.

Vulnerability genoemd Trangrycht (CVE-2019-1649) verbonden met de reeks nadelen in het ontwerp van TAm module (Trust Anchor module) dat is de functie van beschermde vertrouwde downloaden Secure Boot. Deze functie kan controleprogramma eenheid van het apparaat en uitgevoerd in meer dan 300 De producten.

Rode ballon Specialisten geconstateerd manier TAm vallen en veranderingen in module maken via I / O datastromen door het manipuleren van een bitstroom van een programmeerbaar logisch arrangement FPGA (Field Programmable Gate Array).

“TAm is de wortel van het vertrouwen dat alle andere Cisco-beveiliging en Trustworthy Computing mechanismen die ten grondslag ligt aan deze apparaten. Thrangrycat kan een aanvaller aanhoudende wijzigingen aan te brengen aan de Trust Anchor module via FPGA bitstream modificatie, waardoor de veilige opstartproces verslaan en het ongeldig maken keten van vertrouwen Cisco's bij de wortel”, - verslag Red Balloon Beveiliging specialisten.

Thrangrycat op afstand worden geëxploiteerd zonder noodzaak van fysieke toegang tot apparaten

“Het probleem doet zich voor omdat de software niet getroffen reinigt-gebruikersinput. Een aanvaller die geldige beheerder toegang tot een getroffen apparaat kan dit beveiligingslek misbruiken door het toevoeren van een bewerkte invoerparameter op een formulier in de Web UI en vervolgens te onderwerpen die vorm. Een succesvolle exploit kan de aanvaller willekeurige opdrachten uit te voeren op het apparaat met root rechten, wat kan leiden tot het systeem compromis te voltooien”, - bekennen Cisco specialisten.

Opgemerkt wordt dat voor beten Wijziging van de Stroom aanvaller moet toegang hebben tot krijgen met rechten van superusers op het apparaat, dus beveiligingslek kan alleen worden gebruikt wordt de apparatuur is al gecompromitteerd, Bijvoorbeeld, onder toepassing van insect dat aftappen van controle toestaat over de inrichting.

Afgezien Thrangrycat, onderzoekers ontdekten deze kwetsbaarheid. De zaak gaat over RCE-bug (CVE-2019-1862) in web-interface IOS XE die gerealiseerd in Cisco-producten en die kunnen worden gebruikt voor de toegang tot routers, collectors met de rechten van superuser.

De combinatie van bovenstaande datum kwetsbaarheden, aanvallers gelegenheid van het onderscheppen van controle over de apparaten hebben, krijgen root-toegang, uitschakelen TAm check, veiligheid updates en block module. Op zijn beurt, Dit zal hen in staat stelt uit te voeren backdoors op gerichte apparaten.

Lees ook: Alpine Docker-beelden werden geleverd met lege wachtwoord van de “root” gebruiker

Specialisten getest aanval op Cisco-routers ASR 1001-X enkel en alleen, Maar, ze zeggen dat elk apparaat met FPGA-module TAm kwetsbaar. Volledige lijst van kwetsbare apparatuur die in Cisco kennisgeving.

niettemin, er is geen gevestigde gevallen van kwetsbaarheid exploitatie nog.

Bron: https://tools.cisco.com

Over Trojan Killer

Carry Trojan Killer Portable op je memory stick. Zorg ervoor dat u in staat om uw pc te weerstaan ​​elke cyberdreigingen overal mee naar toe bent.

Controleer ook

MageCart op de Heroku Cloud Platform

Onderzoekers vonden verschillende MageCart Web Skimmers Op Heroku Cloud Platform

Onderzoekers van Malwarebytes rapporteerde over het vinden van een aantal MageCart web skimmers op de Heroku cloud-platform …

Android Spyware CallerSpy

CallerSpy spyware maskers als een Android-chat-applicatie

Trend Micro deskundigen ontdekte de malware CallerSpy, waarachter een Android chat-toepassing en, …

Laat een antwoord achter