現如今連安全漏洞命名都用表情符了:思科路由器安全啟動漏洞??????(生氣貓)
作者:星期一, 五月 20, 20190

思科部分網絡路由器、交換機和防火墻出現安全漏洞,可被黑客用于將間諜軟件深埋進被黑設備。

漏洞發現者很有趣,將他們發現的漏洞以表情符號命名——“??????”,發音Thrangrycat,意為生氣貓。想要利用該漏洞,攻擊者應能登以管理員身份登錄設備,因而在利用該漏洞之前就已經能對受害企業造成很大傷害了。

那為什么還要重點指出??????漏洞呢?因為該漏洞可被攻擊者用于將初始特權進一步深化,對設備啟動方式作出根本性修改,以便間諜軟件一旦安裝就總能隨開機秘密啟動,且打補丁或重裝系統都無法清除。而正常情況下,即便是管理員用戶都無法做到這一點。該漏洞能使惡意代碼在被黑系統中長期駐留。

技術概覽

“生氣貓”由兩部分組成。首先,思科 IOS XE 軟件的Web用戶界面中存在CVE-2019-1862漏洞,已登錄管理員可利用該漏洞在底層 Linux shell 以root身份執行命令。

流氓管理員可利用該輸入檢查漏洞觸發第二階段的攻擊:利用此前提到的root權限修改主板FPGA芯片配置固件(CVE-2019-1649),而FPGA芯片是用于安全啟動設備的。

FPGA是由數千個邏輯門和其他電路組成的芯片,可根據需要動態重編程,以便執行自定義硬件操作。這些邏輯門和電路的連接及互動方式是由主板固件中存儲的碼流定義的。

“生氣貓”漏洞案例中所涉的FPGA被配置成實現思科所謂的 Trust Anchor 模塊:思科 Trust Anchor 技術用于確保設備引導啟動軟件的合法性和完整性,保證該軟件未遭惡意篡改。該模塊會在主處理器執行引導程序啟動整個系統之前檢查系統代碼的完整性。

但不幸的是,Trust Anchor 模塊(TAm)不會檢查自身代碼是否合法:碼流文件就毫無防護地坐落于主板SPI閃存芯片中,只要有root權限就可以隨意玩弄修改。

因此,如果有人以root權限修改了該配置數據,主機下次啟動時,FPGA就會從閃存中讀取被篡改過的碼流,可能導致TAm容許藏有惡意軟件的操作系統加載啟動,并阻止固件中存儲的碼流再接受其他修改。

也就是說,只要有root權限,就可以將后門或網絡監視工具隱藏到設備的操作系統中,然后修改固件中的碼流文件以允許該惡意代碼加載啟動,并封禁對該碼流文件的后續修改嘗試。然后,待主機重啟,所做惡意修改生效,長期監視達成。

整個攻擊邏輯精巧嚴密,但起點頗高,需要攻擊者具備管理員權限,僅此一點可能就擋住了大部分的攻擊嘗試。更重要的是,該漏洞意味著:經由這種方法在網絡基礎設施中埋下的惡意軟件,是無法靠軟件補丁和修改登錄口令就能清除的。

漏洞發現

??????漏洞的發現和披露者是 Red Balloon Security 的研究團隊,他們花了3年時間挖掘基于FPGA的漏洞利用。去年時他們特別審查了思科在其TAm中的FPGA應用。

“我們嘗試通過直接操作碼流來挑戰極限,這是一種相對較新的技術。2012年思科引入TAm時,沒人覺得能繞過此項安全驗證,但7年后的現在,可以了。”

該攻擊的完整細節將在今年8月的美國黑帽安全大會上披露。思科早在2018年11月就接到了 Red Balloon Security 的秘密線報,直到現在才公開披露此問題。??????漏洞利用已在思科 ASR 1001-X 路由器上進行過測試,但因為該攻擊針對的是基于FPGA的TAm,采用類似技術的其他大量設備也面臨此一風險。

研究團隊是這么描述“生氣貓”的:

具有設備root權限的攻擊者可修改FPGA配置碼流的內容以禁用TAm關鍵功能——該碼流文件就毫無防護地存儲在閃存中。碼流文件的成功修改是持久性的,主機后續啟動過程中 Trust Anchor 會被禁用。而且,攻擊者還可以禁止對TAm碼流的軟件更新操作。

思科發布了針對這兩個漏洞的建議,列出了所有受影響設備型號。Switchzilla推出了免費的補丁程序。但顯然,如果你已經被人利用該安全啟動漏洞黑掉了,FPGA碼流修復補丁很可能毫無用處——盡管并無證據表明有人確實在利用“生氣貓”。

不過,至少目前,思科聲稱并未發現該漏洞的惡意利用案例。所以,行動起來,打補丁吧。

思科針對這兩個漏洞的建議:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot

 


相關文章

寫一條評論

 

 

0條評論