现如今连安全漏洞命名都用表情符了:思科路由器安全启动漏洞😾😾😾(生气猫)
作者: 日期:2019年05月20日 阅:20,508

思科部分网络路由器、交换机和防火墙出现安全漏洞,可被黑客用于将间谍软件深埋进被黑设备。

漏洞发现者很有趣,将他们发现的漏洞以表情符号命名——“😾😾😾”,发音Thrangrycat,意为生气猫。想要利用该漏洞,攻击者应能登以管理员身份登录设备,因而在利用该漏洞之前就已经能对受害企业造成很大伤害了。

那为什么还要重点指出😾😾😾漏洞呢?因为该漏洞可被攻击者用于将初始特权进一步深化,对设备启动方式作出根本性修改,以便间谍软件一旦安装就总能随开机秘密启动,且打补丁或重装系统都无法清除。而正常情况下,即便是管理员用户都无法做到这一点。该漏洞能使恶意代码在被黑系统中长期驻留。

技术概览

“生气猫”由两部分组成。首先,思科 IOS XE 软件的Web用户界面中存在CVE-2019-1862漏洞,已登录管理员可利用该漏洞在底层 Linux shell 以root身份执行命令。

流氓管理员可利用该输入检查漏洞触发第二阶段的攻击:利用此前提到的root权限修改主板FPGA芯片配置固件(CVE-2019-1649),而FPGA芯片是用于安全启动设备的。

FPGA是由数千个逻辑门和其他电路组成的芯片,可根据需要动态重编程,以便执行自定义硬件操作。这些逻辑门和电路的连接及互动方式是由主板固件中存储的码流定义的。

“生气猫”漏洞案例中所涉的FPGA被配置成实现思科所谓的 Trust Anchor 模块:思科 Trust Anchor 技术用于确保设备引导启动软件的合法性和完整性,保证该软件未遭恶意篡改。该模块会在主处理器执行引导程序启动整个系统之前检查系统代码的完整性。

但不幸的是,Trust Anchor 模块(TAm)不会检查自身代码是否合法:码流文件就毫无防护地坐落于主板SPI闪存芯片中,只要有root权限就可以随意玩弄修改。

因此,如果有人以root权限修改了该配置数据,主机下次启动时,FPGA就会从闪存中读取被篡改过的码流,可能导致TAm容许藏有恶意软件的操作系统加载启动,并阻止固件中存储的码流再接受其他修改。

也就是说,只要有root权限,就可以将后门或网络监视工具隐藏到设备的操作系统中,然后修改固件中的码流文件以允许该恶意代码加载启动,并封禁对该码流文件的后续修改尝试。然后,待主机重启,所做恶意修改生效,长期监视达成。

整个攻击逻辑精巧严密,但起点颇高,需要攻击者具备管理员权限,仅此一点可能就挡住了大部分的攻击尝试。更重要的是,该漏洞意味着:经由这种方法在网络基础设施中埋下的恶意软件,是无法靠软件补丁和修改登录口令就能清除的。

漏洞发现

😾😾😾漏洞的发现和披露者是 Red Balloon Security 的研究团队,他们花了3年时间挖掘基于FPGA的漏洞利用。去年时他们特别审查了思科在其TAm中的FPGA应用。

“我们尝试通过直接操作码流来挑战极限,这是一种相对较新的技术。2012年思科引入TAm时,没人觉得能绕过此项安全验证,但7年后的现在,可以了。”

该攻击的完整细节将在今年8月的美国黑帽安全大会上披露。思科早在2018年11月就接到了 Red Balloon Security 的秘密线报,直到现在才公开披露此问题。😾😾😾漏洞利用已在思科 ASR 1001-X 路由器上进行过测试,但因为该攻击针对的是基于FPGA的TAm,采用类似技术的其他大量设备也面临此一风险。

研究团队是这么描述“生气猫”的:

具有设备root权限的攻击者可修改FPGA配置码流的内容以禁用TAm关键功能——该码流文件就毫无防护地存储在闪存中。码流文件的成功修改是持久性的,主机后续启动过程中 Trust Anchor 会被禁用。而且,攻击者还可以禁止对TAm码流的软件更新操作。

思科发布了针对这两个漏洞的建议,列出了所有受影响设备型号。Switchzilla推出了免费的补丁程序。但显然,如果你已经被人利用该安全启动漏洞黑掉了,FPGA码流修复补丁很可能毫无用处——尽管并无证据表明有人确实在利用“生气猫”。

不过,至少目前,思科声称并未发现该漏洞的恶意利用案例。所以,行动起来,打补丁吧。

思科针对这两个漏洞的建议:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章