thrangrycat

ThrAngryCat: Une Faille qui permet d’installer des portes dérobées

Des chercheurs ont découvert une vulnérabilité (ThrAngryCat) dans certains produits Cisco qui permet aux hackers d’implémenter des portes dérobées sur des appareils utilisés dans les réseaux des entreprises et des gouvernements. Les appareils concernés sont des routeurs, des switchs et des pare-feux.

Nommée Thrangrycat ou 😾😾😾, la vulnérabilité, découverte par les chercheurs de la firme de sécurité Red Balloon et identifié comme CVE-2019-1649, affecte plusieurs produits Cisco qui supporte le module Trust Anchor(TAm).

Le module Trust Anchor (TAm) est une fonctionnalité Secure Boot dans le hardware et est implémenté dans tout les appareils d’entreprise Cisco depuis 2013. Cette fonctionnalité s’assure que le firmware qui s’exécute est authentique et non-modifié.

Cependant, les chercheurs ont trouvé une série de failles qui permettrait à un individu non-authentifié de faire des modifications dans le module Trust Anchor via la reconfiguration dynamique des FPGAs et charger un bootloader(chargeur d’amorçage) malveillant.

“Un hacker ayant des privilèges root sur l’appareil peut modifier le contenu du bitstream FPGA, qui est stocké de manière non-protégée dans la mémoire flash. Les éléments de ce bitstream peuvent être modifié pour désactiver des fonctionnalités importantes dans le TAm,” ont déclaré les chercheurs.

“Une modification réussie du bitstream est persistante, et le Trust Anchor sera désactivé dans les séquences de boot suivantes. Il est aussi possible d’empêcher toutes mises à jour de logiciel dans le bitstream du TAm.”

Bugs Distants: Pas d’accès physique requis pour exploiter ThrAngryCat

Vu que l’exploitation de la vulnérabilité requiert des privilèges administratifs, un rapport publié par Cisco souligne que seulement une attaque local avec un accès physique au système ciblé est possible.

Cependant, les chercheurs de Red Balloon ont expliqué que les hackers pouvaient aussi exploité la vulnérabilité Thrangrycat à distance en exploitant d’autres failles qui leur permettrait d’obtenir un accès root ou au moins exécuter des commandes en tant que root.

Pour démontrer cette attaque ThrAngryCat, les chercheurs ont révélé une autre vulnérabilité d’exécution de code à distance (CVE-2019-1862) dans l’interface web utilisateur du système d’exploitation de Cisco. Cette vulnérabilité permet à administrateur connecté d’exécuter des commandes arbitraires à distance sur le shell Linux d’un appareil affecté.

Après avoir obtenu un accès root, l’administrateur malveillant peut contourner le module Trust Anchor(TAm) à distance en utilisant la vulnérabilité Thrangrycat et installer une porte dérobée.

thrangrycat

“Les failles résident dans la conception du hardware, il est donc peu probable que des patchs de sécurité qui résolvent complètement cette vulnérabilité soient déployés.”

Les chercheurs ont testé les routeurs Cisco ASR 1001-X. Des centaines de millions d’appareils Cisco utilisent un TAm basé sur FPGA.

Red Balloon Security a partagé ses trouvailles avec Cisco en Novembre 2018 et ils ont partagé quelques détails avec le public après que Cisco ait déployé des patchs de firmware pour réparer les deux failles de sécurité. Ils ont aussi publié une liste de tout les produits affectés par ces failles.

Cisco affirme qu’ils n’ont détecté aucune attaque exploitant ces vulnérabilités.

Les détails complets de ces vulnérabilités seront partagés lors de la conférence de sécurité Black Hat USA en Août.

Si cet article vous a plu, jetez un œil à notre précédent article.

Leave a Reply