Hardware-Lücke "Thrangrycat": Cisco arbeitet an Updates und fixt zweite Lücke

  • Tipp

  • mad.de
  • 1066 Aufrufe 3 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Hardware-Lücke "Thrangrycat": Cisco arbeitet an Updates und fixt zweite Lücke

    Die neu entdeckte Sicherheitslücke "Thrangrycat" betrifft zahlreiche Netzwerkgeräte. Cisco arbeitet an Updates und hat derweil eine weitere Lücke behoben.

    Der Netzwerkausrüster Cisco hat Security Advisories zu zwei Sicherheitslücken in verschiedenen Produkten veröffentlicht.

    Eine Lücke im webbasierten Interface von Ciscos IOS XE Software wurde bereits geschlossen. Die zweite steckt in einer Hardware-Komponente, die in zahlreichen Netzwerkgeräten von Cisco zum Einsatz kommt.

    Sie zu beheben, ist offenbar nur mit sehr hohem Aufwand möglich: Das Advisory zur Sicherheitslücke CVE-2019-1649, die von ihren Entdeckern auch als "Thrangrycat" bezeichnet wird, umfasst eine umfrangreiche Liste mit betroffenen Geräten sowie die Termine, zu denen abgesicherte Firm- und Softwarereleases erscheinen sollen. Teilweise sind sie noch für den Mai geplant; in einigen Fällen zieht sich die Veröffentlichung aber bis in den November 2019.

    Nutzer von Cisco-Geräten und -Komponenten ("Firepower"-Firewalls, Switches, Router, Analog Voice Network Interface Modules) sollten dringend überprüfen, ob diese im Advisory aufgeführt sind, um die Updates nach der Veröffentlichung zügig einzuspielen.

    Aktive Angriffe wurden von den Entdeckern der Lücke bislang noch nicht beobachtet; die potenzielle Gefahr, dass sich dies ändere, sei jedoch groß.

    Thrangrycat sitzt in Ciscos Trust Anchor module (TAm)
    Red Balloon Security, die Entdecker von CVE-2019-1649, nennen auf einer eigens eingerichteten "Thrangrycat"-Webseite Details zum Angriff. Demnach resultiert die Lücke aus mehreren Designfehlern im Ciscos Trust Anchor module (TAm). Das Hardware-Modul sei seit 2013 Bestandteil zahlreicher Cisco-Netzwerkgeräte und diene der Validierung der Firmware-Integrität während des Secure-Boot-Vorgangs.

    Mittels Thangrycat könnte ein lokaler Angreifer mit Root-Rechten (durch Manipulation des FPGA-Bitstroms) kritische Bestandteile der TAm-Funktionalität aushebeln, um ein modifiziertes Firmware-Image (etwa mit einer Backdoor) zu installieren. Laut den Forschern ist die TAm-Modifizierung von Dauer ("the Trust Anchor will be disabled in subsequent boot sequences"). Auch sei es via Bitstrom-Manipulationen möglich, künftige TAm-Software-Updates zu unterdrücken.

    Die Forscher haben den Angriff erfolgreich an einem ASR 1001-X Router demonstriert. Sie glauben aber, so schreiben sie, dass er auf zahlreiche Geräte mit Ciscos proprietären TAm-Implementierungen übertragbar sei – eine Annahme, die sich, schaut man auf Ciscos Security Advisory, offenbar bestätigt hat.

    Thrangrycat eigentlich gar nicht patchbar?
    Wenig zuversichtlich stimmt die Einschätzung der Thrangrycat-Entdecker in Bezug auf die von Cisco angekündigten Patches. Da sich die Lücke im Hardware-Design befinde, sei es "sehr schwer, wenn nicht unmöglich", sie mit einem Software-Patch vollständig zu schließen. Der IT-Sicherheitsexperte Felix von Leitner (Fefe) schreibt in seinem Blog: "Das ist nicht patchbar."

    Die Forscher haben angekündigt, die Patches zu analysieren, sobald sie verfügbar sind. Workarounds nennen sie nicht.

    Vorsicht: Lückenkombination ermöglicht Remote-Angriffe
    Die zweite Lücke mit der Kennung CVE-2019-1862 betrifft das webbasierte Interface von Ciscos IOS XE Software. Sie wurde, ebenso wie "Thrangrycat", von Red Balloon Security entdeckt. Auf der Thrangrycat-Webseite beschreibt das Forscherteam, dass Angreifer CVE-2019-1862 und Thrangrycat (CVE-2019-1649) miteinander kombinieren könnten, um auch aus der Ferne einen Angriff auf die Trust-Anchor-Module durchführen zu können.

    Im Security Advisory zu CVE-2019-1862 schreibt Cisco, dass für den Remote-Zugriff auf das IOS-XE-Webinterface Admin-Rechte benötigt würden. Nichtsdestotrotz ist ein umgehendes Update sicherheitsanfälliger Software-Versionen ratsam.

    Laut Red Balloon ist Version 16.x betroffen. Cisco macht im Advisory hingegen keine expliziten Versionseinschränkungen und empfiehlt Nutzern stattdessen, ihre Versionsnummer in den "Cisco IOS Software Checker" einzugeben, um nach Updates zu suchen. Alternativ können sie auch ein Eingabefeld nutzen, das direkt in das Security Advisory integriert ist.

    Quelle: Hardware-Lücke "Thrangrycat": Cisco arbeitet an Updates und fixt zweite Lücke | heise online
  • Cisco veröffentlicht erneut wichtige Sicherheitsupdates

    Bereits zum zweiten Mal in dieser Woche patcht Cisco Lücken in verschiedenen Produkten. Einige gelten als kritisch.

    Netzwerkausrüster Cisco hat bereits zum zweiten Mal in dieser Woche zum Patch-Rundumschlag ausgeholt und mehrere Sicherheitslücken geschlossen, deren Schweregrad von "Medium" über "High" bis "Critical" reicht. Admins sollten die verfügbaren Updates zeitnah vornehmen.

    Kritische Lücken in Interfaces von PI und EPN Manager
    Drei kritische Sicherheitslücken, die Cisco in einem Security Advisory zusammengefasst hat, betreffen die webbasierten Management-Interfaces von Cisco Prime Infrastructure (PI) und Cisco Evolved Programmable Network (EPN).
    Ein entfernter Angreifer könnte sie ausnutzen, um zunächst seine Zugriffsrechte zu erweitern und anschließend beliebigen Code auf den verwundbaren Systemen auszuführen. Im Falle von CVE-2019-1821 funktioniert dies komplett ohne vorherige Authentifizierung; der Zugriff via CVE-2019-1822 and CVE-2019-1823 erfordert allerdings gültige Zugangsdaten (mit einfachen Berechtigungen).
    Betroffen sind Cisco-PI-Software-Releases vor 3.4.1, 3.5 und 3.6 und EPN-Manager-Releases vor 3.0.1. Informationen zu gefixten Versionen und detaillierte Update-Hinweise sind dem Security Advisory zu entnehmen.

    Übersicht über das Patch-Wirrwarr
    Angesichts der extrem kurzen Intervalle, in denen Cisco derzeit Updates veröffentlicht, kann es schwerfallen, im Sicherheitscenter des Herstellers den Überblick zu behalten. Oftmals aktualisiert Cisco alte Beiträge lange nachdem sie erstmals veröffentlicht wurden.

    Seit Veröffentlichung des letzten Alerts bei heise Security am vergangenen Dienstag sind (zusätzlich zu den bereits erwähnten kritischen Lücken) sieben Advisories mit der Einstufung "High" hinzugekommen:
    • IOS XR Software for Cisco ASR 9000 Series Aggregation Services Routers MPLS OAM Denial of Service Vulnerability
    • Cisco Webex Network Recording Player Arbitrary Code Execution Vulnerabilities
    •Cisco Small Business Series Switches Simple Network Management Protocol Denial of Service Vulnerability
    • Cisco Prime Infrastructure and Evolved Programmable Network Manager SQL Injection Vulnerabilities
    • Cisco FXOS and NX-OS Software Simple Network Management Protocol Denial of Service Vulnerability
    • Cisco IOS XR Software BGP MPLS-Based EVPN Denial of Service Vulnerability
    •Cisco Video Surveillance Manager Web-Based Management Interface Information Disclosure Vulnerability

    Zusätzlich liefert die "Advanced Search"-Funktion (eingegrenzt auf Veröffentlichungen seit der letzten heise-Security-Meldung bis zur Veröffentlichung der aktuellen) 37 neue Sicherheitslücken mit "Medium"-Einstufung zurück.

    Quelle: Cisco veröffentlicht erneut wichtige Sicherheitsupdates | heise online