نصب درپشتی در دستگاه‌های سیسکو از طریق آسیب‌پذیری Thrangrycat

به گزارش کارگروه امنیت سایبربان، به نقل از پایگاه اینترنتی ZDNet؛ این آسیب‌پذیری با نام Thrangrycat معرفی شده است و ماژول Trust Anchor TAm را تحت تأثیر قرار می‌دهد. ماژول TAm یک ویژگی امنیتی سخت‌افزاری سیسکو است که از سال ۲۰۱۳ مورد استفاده قرار گرفته است.

این ماژول در واقع معادل Intel SGX در دستگاه‌های سیسکو است. ماژول TAm از یک مؤلفه خارجی و ایزوله شده به‌صورت سخت‌افزاری اجرا می‌شود که از طریق رمزنگاری، bootloader بارگذاری شده در دستگاه را اعتبارسنجی می‌کند. در سال گذشته، پژوهشگران از طریق دست‌کاری بیت‌استریم Field Programmable Gate Array FPGA توانستند راهی را برای حمله به ماژول TAm کشف کنند. دست‌کاری بیت‌استریم یاد شده نیاز به دسترسی root به دستگاه دارد. از این رو، مهاجمین احراز هویت شده تنها با نفوذ به هسته دستگاه‌های سیسکو می‌توانند از آسیب‌پذیری Thrangrycat بهره برند و ماژول TAm را دست‌کاری کنند.

در حالت عادی، اکثر دستگاه‌ها امن هستند، اما اگر یک مهاجم با استفاده از سایر نقص‌های امنیتی به هسته دستگاه‌ها نفوذ کند، آنگاه بهره‌برداری از این آسیب‌پذیری انجام خواهد شد. متأسفانه در تمامی دستگاه‌های سیسکو یک آسیب‌پذیری اجرای کد از راه دور در رابط وب نرم‌افزار Cisco IOS XE کشف‌شده است که می‌تواند برای دسترسی root در مسیریاب‌ها و سوئیچ‌های سیسکو به کار گرفته شود. در نتیجه با ترکیب آسیب‌پذیری Thrangrycat و (با شناسهCVE-2019-1849) این نقص اجرای کد از راه دور (با شناسهCVE-2019-1862)، یک مهاجم می‌تواند با دسترسی راه دور، به root دستگاه دسترسی پیدا کند و سپس فرایند اعتبارسنجی TAm را متوقف کند و حتی از اعمال به‌روزرسانی‌های امنیتی آتی برای TAm جلوگیری کند. این کار مهاجم را قادر می‌سازد تا firmware دستگاه سیسکو را دست‌کاری کند و درپشتی پایدار در دستگاه هدف قرار دهد.

پژوهشگران این آسیب‌پذیری را در مسیریاب‌های ASR ۱۰۰۱-X سیسکو آزمایش کردند، اما هر دستگاه سیسکو که TAm مبتنی بر FPGA را اجرا کند نیز آسیب‌پذیر است. سیسکو برای رفع هر دو آسیب‌پذیری به‌روزرسانی‌های مربوطه را منتشر کرده است.