Millionen von Cisco-Geräten betroffen: Schwere Sicherheitslücke ermöglicht dauerhafte Manipulation

Forscher haben eine schwere Schwachstelle in Cisco-Produkten entdeckt, die es Angreifern ermöglichen könnte, eine dauerhafte Hintertür auf Geräten mit großer Reichweite zu implantieren, die in Unternehmen und Regierungsnetzwerken verwendet werden, einschließlich Routern, Switches und Firewalls.

Die Schwachstelle, die von Forschern der Sicherheitsfirma Red Balloon entdeckt und als CVE-2019-1649 identifiziert wurde, betrifft mehrere Cisco-Produkte, die das Trust Anchor Module (TAm) unterstützen.

Trust Anchor Module (TAm) ist eine hardwarebasierte Secure Boot-Funktionalität, die seit 2013 in fast allen Cisco-Unternehmensgeräten implementiert ist und sicherstellt, dass die auf Hardwareplattformen ausgeführte Firmware authentisch und unverändert ist.

Die Forscher fanden jedoch eine Reihe von Hardware-Design-Fehlern, die es einem authentifizierten Angreifer ermöglichen könnten, die persistente Modifikation des Trust Anchor Moduls mittels FPGA-Bitstream-Modifikation vorzunehmen und den bösartigen Bootloader zu laden.

"Ein Angreifer mit Root-Rechten auf dem Gerät kann den Inhalt des FPGA-Anker-Bitstroms ändern, der ungeschützt im Flash-Speicher gespeichert ist. Elemente dieses Bitstroms können modifiziert werden, um kritische Funktionen im TAm zu deaktivieren", sagten Forscher.
"Die erfolgreiche Modifikation des Bitstroms ist persistent, und der Trust Anchor wird in den nachfolgenden Boot-Sequenzen deaktiviert. Es ist auch möglich, Software-Updates für den Bitstream des TAm zu sperren."

Verkettung mit Remote-Bugs: Kein physischer Zugriff erforderlich

Da die Schwachstellenausnutzung Root-Privilegien erfordert, betonte ein von Cisco herausgegebener Hinweis, dass nur ein lokaler Angreifer mit physischem Zugriff auf das Zielsystem ein modifiziertes Firmware-Image in die Komponente schreiben kann.

Die Red Balloon-Forscher erklärten jedoch, dass Angreifer die Thrangrycat-Schwachstelle auch aus der Ferne ausnutzen könnten, indem sie sie mit anderen Fehlern verketten, die es ihnen ermöglichen könnten, Root-Zugriff zu erhalten oder zumindest Befehle als Root auszuführen.

Um diesen Angriff zu demonstrieren, entdeckten die Forscher eine RCE-Schwachstelle (CVE-2019-1862) in der webbasierten Benutzeroberfläche des IOS-Betriebssystems von Cisco, die es einem angemeldeten Administrator ermöglicht, beliebige Befehle auf der zugrunde liegenden Linux-Shell eines betroffenen Geräts mit Root-Rechten aus der Ferne auszuführen.

Nach dem Erhalt des Root-Zugriffs kann der abtrünnige Administrator dann das Trust Anchor Modul (TAm) auf einem Zielgerät über die Thrangrycat-Schwachstelle aus der Ferne umgehen und eine bösartige Hintertür installieren.

Hier ist, was diese Schwachstelle noch schwerer macht:

"Durch die Verkettung der Schwachstellen šŸ˜¾šŸ˜¾šŸ˜¾ und der Remote Command Injection kann ein Angreifer den sicheren Boot-Mechanismus von Cisco aus der Ferne und dauerhaft umgehen und alle zukünftigen Software-Updates für den TAm sperren", sagten Forscher.
"Da die Fehler im Hardware-Design liegen, ist es unwahrscheinlich, dass ein Software-Sicherheitspatch die grundlegende Sicherheitslücke vollständig beheben wird."

Während Forscher die Schwachstellen gegen Cisco ASR 1001-X-Router testeten, sind Hunderte von Millionen von Cisco-Einheiten, die weltweit einen FPGA-basierten TAm betreiben - der alles von Unternehmensroutern über Netzwerk-Switches bis hin zu Firewalls umfasst - anfällig.

Red Balloon Security meldete die Probleme privat an Cisco im November 2018 und gab erst einige Details an die Öffentlichkeit weiter, nachdem Cisco Firmware-Patches herausgab, um sowohl Fehler zu beheben als auch alle betroffenen Produkte aufzulisten.

Cisco sagte, dass das Unternehmen keine Angriffe entdeckt hat, die eine dieser beiden Schwachstellen ausnutzen. Die vollständigen Details zu den Schwachstellen werden auf der diesjährigen Black Hat USA-Sicherheitskonferenz im August veröffentlicht.