Investigadores han descubierto una vulnerabilidad que permite a los atacantes implantar un backdoor persistente en dispositivos de Cisco utilizados a nivel mundial, estos dispositivos pueden ser router, switches y Firewalls.
Red Ballon Security, fueron los investigadores que encontraron la vulnerabilidad en los dispositivo Cisco.
La vulnerabilidad fue nombrada Thrangrycat esta vulnerabilidad permite al atacante brincar por completo el Cisco Trust Anchor Module(TAm) via Fiel Programmable Gate Array(FPGA) manipulando el flujo de bits.
Que es Cisco’s Trust Anchor ?
Cisco Cuenta con un proceso para asegurarse que el inicio de los aparatos inicien correctamente, verificando integridad de Firmware(Cisco Secure Boot). Adicional a esto Cisco desarrollo por separado un pieza de hardware con un propósito especial , lo que realiza este hardware es le primera instrucción de arranque, verifica la integridad del gestor de arranque(bootloader) y si existe algún problema alerta al usuario y se reinicia, para poder evitar que se ejecute un bootloader modificado.
La vulnerabilidad en TAm consiste en que un atacante con privilegios de root sobre el dispositivo puede modificar el contenido de FPGA, cual esta almacenado en una memoria Flash dentro del equipo.
Los elementos de este bitstream pueden ser modificados para deshabilitar funciones críticas en el TAm.
Las modificaciones que se realicen son persistentes y la secuencia de arranque quedaría deshabilitado.
También es posible bloquea cualquier actualización en el TAm.
Cisco había comentado que para poder explotar esta vulnerabilidad era necesario tener acceso físico y privilegio de administrador sobre los equipos.
Sin embargo, los investigadores demostraron que este ataque puede ser explotado remotamente con una vulnerabilidad que también descubrieron ellos (CVE-2019-1862), esta vulnerabilidad fue encontrada en la interface Web de los Cisco’s IOS, permite que un administrador logeado pueda ejecutar comandos arbitrarios en el Shell de Linux de un dispositivo afectado.
Despues de que se tenga acceso a root de forma remota, se puede brincar El Trust Ancor module(TAm) sobre el equipo y usando le vulnerabilidad Thrangrycat instalar un backdoor persistente.
Hasta el momento no se liberado ningún parche necesario para solucionar esta vulnerabilidad, pero al ser un error en diseño a nivel hardware, será difícil liberar un parche que pueda eliminar esta vulnerabilidad de forma completa.