У нас тут разворачивается очередная история с тегами Cisco, дыры и спасибо экспертам за эксплоит от ленивых хакеров!
Специалисты компании Red Balloon Security сообщили о серьезной проблеме, затрагивающей множество устройств компании Cisco. Проблема получила идентификатор CVE-2019-1649 и название Thrangrycat или 😾😾😾 (не спрашивайте).
По словам экспертов, обнаруженный ими баг позволяет потенциальному злоумышленнику заразить уязвимое устройство бэкдором, причем сделать это злоумышленник может и удаленно, без того, чтобы получать физический доступ к устройству.
Thrangry – When you are Angry, Hungry and Thirsty all at the same time (Urban DIctionary)
Thrangry – когда ты хочешь есть, пить и разозлен, в одно и то же время.
Корень проблемы на этот раз кроется в работе модуля Trust Anchor — проприетарной аппаратной защите, которая присутствует практически во всех устройствах Cisco с 2013 года. Trust Anchor является своего рода эквивалентом Intel SGX или TrustZone, — он защищает устройства Cisco, контролирует целостность ПО. Так, этот компонент изолирован аппаратно и производит криптографическую верификацию загрузчика ОС, проверяет его аутентичность и целостность. Атаковать Trust Anchor, модифицировав битовый поток Field Programmable Gate Array (FPGA). Но для этого злоумышленнику понадобится root-доступ к устройству, хотя исследователи предупреждают, что даже это ограничение вряд ли остановит атакующих (например, можно объединить 😾😾😾 с RCE-багом в веб-интерфейсе Cisco IOS XE (CVE-2019-1862, который как раз дает root-доступ).
Самое интересное номер раз: хотя аналитики Red Balloon Security тестировали проблему только на маршрутизаторах Cisco ASR 1001-X, багу 😾😾😾 теоретически подвержено ЛЮБОЕ оборудование Cisco, использующее FPGA и Trust Anchor.
Самое интересное номер два: пока атак на эти уязвимости не обнаружено. Однако эксперты Red Balloon Security не только придумали багу забавное название и создали описывающий его сайт, но и опубликовали в открытом доступе понятные даже идиоту эксплоиты для обеих вышеобозначенных проблем. Дальше можно только бегать по улице в стрингах и кричать МЫ НАШЛИ НОВЫЙ БАГ, ПОСМОТРИТЕ, ВОТ ТАК ЕГО МОЖНО ИСПОЛЬЗОВАТЬ ЧТОБЫ ЛЕГКО И БЕЗ УСИЛИЙ ЛОМАТЬ ОБОРУДОВАНИЕ CISCO. В общем, атак вряд ли придется ждать долго. Скажем даже прямо, ждем в течение недели, что нам придется о них писать. Точно так же уже было два раза с начала года.
АКБ напоминает, что в начале марта мы наблюдали такую же ситуацию с многострадальными роутерами Cisco , разве что с другим порядковым номером уязвимости. События разворачивались следующим образом: в первых числах марта инженеры компании Cisco исправили в своих продуктах критическую уязвимость CVE-2019-1663. Баг затрагивает устройства Cisco RV110W Wireless-N VPN Firewall, Cisco RV130W Wireless-N Multifunction VPN Router, а также Cisco RV215W Wireless-N VPN Router, если на них включена функция удаленного администрирования (неактивна по умолчанию).
На следующий день после релиза исправлений, эксперты Pen Test Partners, которые в прошлом году обнаружили эту проблему, вместе со своими китайскими коллегами, опубликовали подробное описание уязвимости в блоге компании. Описание, по-видимому, оказалось действительно подробным, так как сразу после публикации в блоге началась массовая атака на уязвимые роутеры Cisco.
До этого в январе – полностью аналогичная ситуация , когда защищенные WAN VPN маршрутизаторы Cisco RV320 и RV325, весьма популярные у интернет-провайдеров и компаний, стали мишенью для хакерских атак после публикации на GitHub proof-of-concept эксплоита для серьезных уязвимостей в этих моделях маршрутизаторов.
Тогда уязвимостей было две. Первая, которой присвоили код CVE-2019-1653, позволяет удаленному атакующему получить данные о конфигурации устройства (без пароля). Вторая проблема, CVE-2019-1652 давала возможность злоумышленнику удаленно внедрять и выполнять произвольные команды на уязвимом девайсе.
Инженеры Cisco исправили эти проблемы еще 23 января текущего года, выпустив патчи. Маршрутизаторы, которые не были обновлены, были радостно атакованы хакерами с помощью того самого эксплоита – причем весьма плотным, массированным фронтом, около 10-20 тысяч устройств, в основном, на территории США.
