首页 > 安全钻研 > 安全传递 > 安全公告

思科安全启动硬件篡改Thrangrycat缝隙安全公告

颁布功夫 2019-05-17

缝隙编号和级别

CVE编号：CVE-2019-1649，危险级别：中级，CVSS分值：厂商自评：6.7，官方未评定

CVE编号：CVE-2019-1862，危险级别：高级，CVSS分值：厂商自评：7.2，官方未评定

影响版本

CVE-2019-1649

支持TAm的100多款思科产品

CVE-2019-1862

运行IOS XE版本16且启用了HTTP Server职能的思科设备

缝隙概述

钻研人员在思科产品中发现了一个缝隙，可导致攻击者在企业和当局网络中的大量设备如路由器、互换机和防火墙上植入悠久后门。这个缝隙被定名为“Thrangrycat”（“三只恼怒的猫”），由安全公司Red Baloon发现且编号为CVE-2019-1649，影响支持信赖锚点�？�(TAm)的多款思科产品。

凭据安全厂商Red Balloon的汇报，Thrangrycat缝隙是由思科信赖锚�？椋═Am）中的硬件设计缺点引起的。思科TAm是自2013年以来险些在所有思科企业设备中实现的基于硬件的安全启动职能，用于确保在硬件平台上运行的固件是真实且未经批改的。该缝隙是由于对代码区域的不正确查抄造成的，该代码区域治理安全启动硬件的FPGA本地更新。攻击者通过批改FPGA比特流，可将恶意固件写入该组件，从而粉碎安全启动过程并使思科的信赖链从底子上无效。这一批改拥有悠久性，可在后续的启动过程中禁用信赖锚，也可禁用之后的TAm软件更新。

由于利用该缝隙必要拥有根权限，因而思科颁布安全布告暗示，只有拥有对指标系统物理接见权限的本地攻击者能力在组件中写入经批改的固件镜像。

然而，Red Balloon钻研人员指出，攻击者也能链接其它缺点远程利用Thrangrycat缝隙，从而获取根权限或者至少以根身份执行号令。

为了演示该攻击，钻研人员披露了基于web的思科IOS操作系统的用户接口RCE缝隙CVE-2019-1862，可导致已登录的治理员以根权限在受影响设备的底层Linux shell上执行肆意号令。

获得根接见权限后，恶意治理员可能使用Thrangrycat缝隙远程绕过指标设备上的TAm，并装置恶意后门。

钻研人员暗示，通过链接Thrangrycat和远程号令注入缝隙，攻击者可能远程并悠久地绕过思科的安全启动机造并锁定所有TAm的将来软件更新。

缝隙验证

暂无POC/EXP。

建复建议

目前厂商已颁布升级补丁以建复缝隙，补丁获取链接：

CVE-2019-1649

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot

CVE-2019-1862

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-webui#fshttps://thrangrycat.com/

参考链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-webui#fshttps://thrangrycat.com/
https://thehackernews.com/2019/05/cisco-secure-boot-bypass.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

思科安全启动硬件篡改Thrangrycat缝隙安全公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线