Martedì 14 Maggio 2019
L'exploit ThrAngryCat potrebbe colpire milioni di dispositivi Cisco (CVE-2019-1649 CVE-2019-1862)

Una coppia di vulnerabilità di criticità alta, riguardanti un'ampia gamma di prodotti - inclusi router, switch e firewall - utilizzati nelle reti governative e aziendali, affliggono il meccanismo di avvio sicuro di Cisco. Queste vulnerabilità potrebbero essere sfruttate per installare backdoor e ottenere il controllo del sistema interessato. Cisco ha rilasciato aggiornamenti di sicurezza.
 


Cisco Secure Boot Hardware Tampering Vulnerability (CVE-2019-1649)

La vulnerabilità, denominata ThrAngryCat (CVE-2019-1649), scoperta da ricercatori della società di sicurezza Red Balloon, è associata a una serie di carenze nella progettazione del modulo TAm (Trust Anchor module), una funzionalità di caricamento sicuro e affidabile di Secure Boot, che consente di verificare l'integrità del software del dispositivo implementato in circa 300 prodotti dell'azienda.

Gli specialisti di Red Balloon Security hanno trovato un modo per attaccare TAm e apportare modifiche al modulo, attraverso flussi di dati in entrata e in uscita, manipolando il flusso di bit dell'array logico programmabile FPGA (Field Programmable Gate Array). Per modificare un flusso di bit, un utente malintenzionato deve avere accesso con i diritti di amministratore al dispositivo: la vulnerabilità può essere sfruttata solo se l'apparecchiatura è già stata compromessa, ad esempio utilizzando un bug che consente di acquisire completamente il controllo del dispositivo.


Cisco IOS XE Software Web UI Command Injection Vulnerability (CVE-2019-1862)

Oltre a ThrAngryCat, i ricercatori hanno scoperto un’altra vulnerabilità. Si tratta di un bug RCE nell'interfaccia Web del sistema operativo IOS XE implementato nei prodotti Cisco, che può essere utilizzato per l'accesso root a router e switch.
Questa vulnerabilità interessa milioni di dispositivi Cisco, in particolare quelli che eseguono una versione interessata del software Cisco IOS XE con la funzionalità HTTP Server abilitata.


Combinando le vulnerabilità sopra descritte, gli aggressori potrebbero essere in grado di prendere il controllo dei dispositivi, ottenere l'accesso come root e quindi disabilitare il controllo TAm e bloccare gli aggiornamenti di sicurezza del modulo. Ciò consentirebbe loro di implementare backdoor sui dispositivi di target.

I dettagli completi sullo sfruttamento non saranno rilasciati fino alla conferenza sulla sicurezza di quest'anno al Black Hat di Agosto. Gli specialisti tuttavia hanno dichiarato di aver testato l'attacco solo sui router Cisco ASR 1001-X, ma, in base a quanto riportato nei dettagli dell’analisi, qualsiasi dispositivo con il modulo TAm FPGA è potenzialmente vulnerabile.

Cisco non ha fornito specifiche in merito alle versioni interessate nell'advisory relativo al CVE-2019-1862 e consiglia gli utenti di inserire il loro numero di versione nel "Controllo del software Cisco IOS" per verificare la presenza di aggiornamenti.

Va precisato che non sono stati identificati casi di sfruttamento delle vulnerabilità; tuttavia, in base a quanto dichiarato da esperti di sicurezza: “Risolvere questo problema non è facile, perché per rimediare veramente si richiede una sostituzione fisica del chip… Una patch del firmware aiuterà a compensare i rischi, ma non li eliminerà completamente.


Per maggiori informazioni e in considerazione della rilevanza della vulnerabilità per il numero di device potenzialmente affetti, si consiglia la consultazione degli avvisi di sicurezza appositamente rilasciati da Cisco, al fine di installare gli opportuni aggiornamenti:

Vedi anche: