Hardware-Lücke "Thrangrycat": Cisco arbeitet an Updates und fixt zweite Lücke
Die neu entdeckte Sicherheitslücke "Thrangrycat" betrifft zahlreiche Netzwerkgeräte. Cisco arbeitet an Updates und hat derweil eine weitere Lücke behoben.
Der Netzwerkausrüster Cisco hat Security Advisories zu zwei Sicherheitslücken in verschiedenen Produkten veröffentlicht.
Eine Lücke im webbasierten Interface von Ciscos IOS XE Software wurde bereits geschlossen. Die zweite steckt in einer Hardware-Komponente, die in zahlreichen Netzwerkgeräten von Cisco zum Einsatz kommt.
Sie zu beheben, ist offenbar nur mit sehr hohem Aufwand möglich: Das Advisory zur Sicherheitslücke CVE-2019-1649, die von ihren Entdeckern auch als "Thrangrycat" bezeichnet wird, umfasst eine umfangreiche Liste mit betroffenen Geräten sowie die Termine, zu denen abgesicherte Firm- und Softwarereleases erscheinen sollen. Teilweise sind sie noch für den Mai geplant; in einigen Fällen zieht sich die Veröffentlichung aber bis in den November 2019.
Nutzer von Cisco-Geräten und -Komponenten ("Firepower"-Firewalls, Switches, Router, Analog Voice Network Interface Modules) sollten dringend überprüfen, ob diese im Advisory aufgeführt sind, um die Updates nach der Veröffentlichung zügig einzuspielen.
Aktive Angriffe wurden von den Entdeckern der Lücke bislang noch nicht beobachtet; die potenzielle Gefahr, dass sich dies ändere, sei jedoch groß.
Thrangrycat sitzt in Ciscos Trust Anchor module (TAm)
Red Balloon Security, die Entdecker von CVE-2019-1649, nennen auf einer eigens eingerichteten "Thrangrycat"-Webseite Details zum Angriff. Demnach resultiert die Lücke aus mehreren Designfehlern im Ciscos Trust Anchor module (TAm). Das Hardware-Modul sei seit 2013 Bestandteil zahlreicher Cisco-Netzwerkgeräte und diene der Validierung der Firmware-Integrität während des Secure-Boot-Vorgangs.
Mittels Thangrycat könnte ein lokaler Angreifer mit Root-Rechten (durch Manipulation des FPGA-Bitstroms) kritische Bestandteile der TAm-Funktionalität aushebeln, um ein modifiziertes Firmware-Image (etwa mit einer Backdoor) zu installieren. Laut den Forschern ist die TAm-Modifizierung von Dauer ("the Trust Anchor will be disabled in subsequent boot sequences"). Auch sei es via Bitstrom-Manipulationen möglich, künftige TAm-Software-Updates zu unterdrücken.
Die Forscher haben den Angriff erfolgreich an einem ASR 1001-X Router demonstriert. Sie glauben aber, so schreiben sie, dass er auf zahlreiche Geräte mit Ciscos proprietären TAm-Implementierungen übertragbar sei – eine Annahme, die sich, schaut man auf Ciscos Security Advisory, offenbar bestätigt hat.
Thrangrycat eigentlich gar nicht patchbar?
Wenig zuversichtlich stimmt die Einschätzung der Thrangrycat-Entdecker in Bezug auf die von Cisco angekündigten Patches. Da sich die Lücke im Hardware-Design befinde, sei es "sehr schwer, wenn nicht unmöglich", sie mit einem Software-Patch vollständig zu schließen. Der IT-Sicherheitsexperte Felix von Leitner (Fefe) schreibt in seinem Blog: "Das ist nicht patchbar."
Die Forscher haben angekündigt, die Patches zu analysieren, sobald sie verfügbar sind. Workarounds nennen sie nicht.
Vorsicht: Lückenkombination ermöglicht Remote-Angriffe
Die zweite Lücke mit der Kennung CVE-2019-1862 betrifft das webbasierte Interface von Ciscos IOS XE Software. Sie wurde, ebenso wie "Thrangrycat", von Red Balloon Security entdeckt. Auf der Thrangrycat-Webseite beschreibt das Forscherteam, dass Angreifer CVE-2019-1862 und Thrangrycat (CVE-2019-1649) miteinander kombinieren könnten, um auch aus der Ferne einen Angriff auf die Trust-Anchor-Module durchführen zu können.
Im Security Advisory zu CVE-2019-1862 schreibt Cisco, dass für den Remote-Zugriff auf das IOS-XE-Webinterface Admin-Rechte benötigt würden. Nichtsdestotrotz ist ein umgehendes Update sicherheitsanfälliger Software-Versionen ratsam.
Laut Red Balloon ist Version 16.x betroffen. Cisco macht im Advisory hingegen keine expliziten Versionseinschränkungen und empfiehlt Nutzern stattdessen, ihre Versionsnummer in den "Cisco IOS Software Checker" einzugeben, um nach Updates zu suchen. Alternativ können sie auch ein Eingabefeld nutzen, das direkt in das Security Advisory integriert ist. (ovw)