Thrangrycat漏洞让攻击者在思科设备上植入持久的后门

今天公布的一个漏洞允许黑客在思科设备上建立持久的后门，即使在互联网上，也无法对易受攻击的设备进行物理访问。这个漏洞名为Thrangrycat，它影响了Trust Anchor模块(TAm)，这是自2013年以来Cisco设备的专有硬件安全芯片部分。该模块是思科设备的英特尔SGX等效产品。TAm从外部硬件隔离组件运行，该组件以加密方式验证在Cisco设备上加载和执行的引导加载程序是否可靠。

但去年，Red Balloon Security的安全研究人员已经找到了一种方法，通过操作现场可编程门阵列(FPGA)比特流，通过运行进出组件的数据流来攻击TAm。修改此比特流需要对设备进行root访问，这意味着黑客可以使用Thrangrycat漏洞修改TAm，除非他们已经将Cisco设备泄露到核心。在正常情况下，大多数设备都是安全的。但是，如果攻击者链接一个安全漏洞，让他们以root身份访问思科设备，那么这个漏洞就会发挥作用，成为设备所有者的一个大问题。

不幸的是，对于所有思科设备所有者，同样的红气球安全团队还在思科设备上运行的Cisco IOS XE软件的Web界面中发现了远程代码执行缺陷，可用于获取思科路由器和交换机的root访问权限。这意味着通过将Thrangrycat(CVE-2019-1649)与此远程代码执行缺陷(CVE-2019-1862)相结合，位于Internet上任何位置的攻击者可以接管设备，获得root访问权限，然后禁用TAm启动过程验证，甚至防止未来的TAm安全更新到达设备。

反过来，这又允许攻击者修改思科固件并在目标设备上植入持久后门。大多数思科设备可能受到影响研究人员表示他们只使用Cisco ASR 1001-X路由器测试了此漏洞，但运行基于FPGA的TAm的任何思科设备都很容易受到攻击。思科今天早些时候发布了针对这两个漏洞的安全更新。在思科Thrangrycat安全顾问名单设备思科认为受到影响，与现有固件修补一起。

针对Cisco IOS XE Web UI中的RCE错误的思科安全建议还包括一个表单，该表单允许设备所有者查看他们运行的版本是否容易受到攻击。思科表示，它没有发现利用这两个漏洞的任何攻击。尽管如此，考虑到证明这两个缺陷的概念证明代码在公共领域可用，最终预计会发生攻击。在一个致力于Thrangrycat漏洞的网站上，红气球安全团队表示计划在Black Hat 2019安全会议上提出今年8月检测Thrangrycat攻击的工具。