首页 > 清静研究 > 清静转达 > 清静通告

思科清静启动硬件改动Thrangrycat误差清静通告

宣布时间 2019-05-17

误差编号和级别

CVE编号：CVE-2019-1649，危险级别：中级，CVSS分值：厂商自评：6.7，官方未评定

CVE编号：CVE-2019-1862，危险级别：高级，CVSS分值：厂商自评：7.2，官方未评定

影响版本

CVE-2019-1649

支持TAm的100多款思科产品

CVE-2019-1862

运行IOS XE版本16且启用了HTTP Server功效的思科装备

误差概述

研究职员在思科产品中发明了一个误差，可导致攻击者在企业和政府网络中的大宗装备如路由器、交流机和防火墙上植入长期后门。这个误差被命名为“Thrangrycat”（“三只恼怒的猫”），由清静公司Red Baloon发明且编号为CVE-2019-1649，影响支持信托锚点模块(TAm)的多款思科产品。

凭证清静厂商Red Balloon的报告，Thrangrycat误差是由思科信托锚模块（TAm）中的硬件设计缺陷引起的。思科TAm是自2013年以来险些在所有思科企业装备中实现的基于硬件的清静启动功效，用于确保在硬件平台上运行的固件是真实且未经修改的。该误差是由于对代码区域的不准确检查造成的，该代码区域治理清静启动硬件的FPGA外地更新。攻击者通过修改FPGA比特流，可将恶意固件写入该组件，从而破损清静启动历程并使思科的信托链从基础上无效。这一修改具有长期性，可在后续的启动历程中禁用信托锚，也可禁用之后的TAm软件更新。

由于使用该误差需要具有根权限，因此思科宣布清静通告体现，只有具有对目的系统物剖析见权限的外地攻击者才华在组件中写入经修改的固件镜像。

然而，Red Balloon研究职员指出，攻击者也能链接其它缺陷远程使用Thrangrycat误差，从而获取根权限或者至少以根身份执行下令。

为了演示该攻击，研究职员披露了基于web的思科IOS操作系统的用户接口RCE误差CVE-2019-1862，可导致已登录的治理员以根权限在受影响装备的底层Linux shell上执行恣意下令。

获得根会见权限后，恶意治理员能够使用Thrangrycat误差远程绕过目的设惫亓TAm，并装置恶意后门。

研究职员体现，通过链接Thrangrycat和远程下令注入误差，攻击者能够远程并长期地绕过思科的清静启念头制并锁定所有TAm的未来软件更新。

误差验证

暂无POC/EXP。

修复建议

现在厂商已宣布升级补丁以修复误差，补丁获取链接：

CVE-2019-1649

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot

CVE-2019-1862

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-webui#fshttps://thrangrycat.com/

参考链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-webui#fshttps://thrangrycat.com/
https://thehackernews.com/2019/05/cisco-secure-boot-bypass.html

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

思科清静启动硬件改动Thrangrycat误差清静通告

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线