Een combinatie van twee pas ontdekte kwetsbaarheden laat hackers toe om via het internet Cisco-routers aan te vallen, de bescherming uit te schakelen en achterpoortjes in de firmware in te bouwen.
Cisco-toestellen zijn voorzien van een geïsoleerd hardwarecomponent dat als missie heeft om de firmware na te kijken en eventueel gepruts daarmee te detecteren. De Trusted Anchor-module TAm is een FPGA die in theorie los staat van de rest van het toestel, en zo zelfs manipulaties in de bootloader kan detecteren. Dat betekent dat een hacker de firmware van een Cisco-router niet naar zijn hand kan zetten zonder dat TAm alarm slaat. In theorie toch.
Kat
Onderzoekers van beveiligingsbedrijf Red Balloon Security hebben een manier ontdekt om via de bitstream die in en uit de FPGA loopt, de chip toch te manipuleren, toekomstige updates te blokkeren en de beveiliging zelfs uit te schakelen. Dat bevestigt Cisco zelf. Zonder TAm wordt het plots wel mogelijk voor hackers om de software op Cisco-toestellen aan te passen, achterpoortjes in te bouwen en de controle over te nemen.
De kwetsbaarheid gaat door het leven onder de naam Thrangrycat, wat volgens mensen die meer millennial zijn dan ondergetekende de manier is om ‘drie emoticons van een kwade kat’ uit te spreken. De officiële naam van de potentieel desastreuze kwetsbaarheid die zowat alle hardware van Cisco lijkt te treffen, is inderdaad een serie van emoticons. Wie professionelere namen verkiest kan zoeken op CVE-2019-1649.
Dodelijke tandem
Gelukkig is het niet vanzelfsprekend om de FPGA bitstream te manipuleren. Daarvoor heeft een aanvaller root-toegang nodig. Helaas ontdekten de onderzoekers van Red Balloon Security een tweede kwetsbaarheid in Cisco’s IOS XE-software die bovenop de toestellen draait. Die kwetsbaarheid (CVE-2019-1862) laat aanvallers toe om via het internet root-toegang te forceren. Cisco duidt de problemen in een security advisory-post. Deze kwetsbaarheid in combinatie het Thrangrycat volstaat voor aanvallers om vanuit hun luie zetel overal ter wereld Cisco-materiaal aan te vallen en flinke schade aan te richten.
De onderzoekers lijken de eersten die beide kwetsbaarheden ontdekten. Momenteel heeft Cisco nog geen weet van aanvallen in het wild. Daar staat tegenover dat de broncode voor de aanvallen intussen online staat, en dat het een kwestie van tijd is voor enkele malafide individuen zich geroepen voelen om een poging te wagen.
De onderzoekers ontdekten de kwetsbaarheid op Cisco ASR 1001-X-routers, maar gaan ervanuit dat het gros van het Cisco-portfolio kwetsbaar is. Intussen lanceerde Cisco beveiligingsupdates voor beide kwetsbaarheden. Aangezien Thrangrycat in combinatie met de IOS XE-exploit van over het internet uit te voeren zijn, is snel updaten de boodschap.