Sårbarhet i Ciscos hårdvara – så skyddar du dig mot Thrangrycat

Sårbarhet Cisco Thrangrycat

Cisco har de sista dagarna tillkännagivit att man har sårbarheter i den skyddade uppstartsprocessen i flera av sina produkter, en sårbarhet vid namn Thrangrycat. Forskarna från Red Balloon Security Inc informerade Cisco PSIRT i November om Thrangrycat som har fått namnet CVE-2019-1649 har visat att om man slå i hopp flera sårbarheter så kan man helt gå förbi den så kallade Trust Anchor module (TAm) och skapa en attack som inte försvinner vid omstart.

TAm är en hårdvarumodul som finns i ett flertal produkter och som ska validera att säkerheten bibehålls i enheten och att bara programvara från Cisco kan köras. Sårbarheten Thrangrycat sitter i denne modul och är hårdvarubaserad vilket precis som Intels Spectre och Meltdown gör patchning svårare.

Thrangrycats sårbarhet

För att exekvera sårbarheten Thrangrycat så måste man vara root på enheten man attackera och det innebär att man inte kan utföra denna utan att först ha loggat in via management accessen på enheten. Det gör att en attack är svår att utföra och följer man god säkerhetssed med segmentering, rollbaserad access, kryptering och tvåfaktorsautentisering så är risken liten att man blir attackerad. Se Cisco’s Hardening Guide för IOS Länk

Forskarna på Red Balloon Security Inc gjorde sin Thrangrycat Proof-o-Concept på en ASR1001-X router och för att bli root på denna så används annan sårbarhet via CVE-2019-1862. Cisco har släppt ett patch för denna och sårbarheten kan även identifiera en programmvaruskanner. Länk

Mer om Thrangrycat

För att se vilka enheter som är påverkade rekommenderar jag att man följer Ciscos sida för sårbarheten:

  • Här kommer även uppdatering om sårbarheten. Länk
  • Information om Cisco’s Trust Anchor module och Secure boot: Länk
  • Tenable har en pluggin till Nessus för att scanna Firepower Threat Defence och dem jobbar på fler. Länk
  • Och om man vill läsa om Thrangrycat från forskarna på Red Balloon Security Inc. Länk

På Conscia Netsafe är vi specialister på Cisco och Ciscos breda och integrerade säkerhetserbjudande, exempelvis lösningar för DNS-uppslag och klientsäkerhet men vi gör också IT-säkerhetsgenomlysningar åt kunder vid behov för att inventera behov och åtgärder. Kontakta oss gärna!

Mikael Gustafsson CISSP CCIE Conscia NetsafeMikael Gustafsson, CCIE Security #51822, CISSP, är senior nätverks- och säkerhetskonsult på Conscia Netsafe. Mikael har 15 års erfarenhet som konsult inom nätverks- och säkerhetsområdet på stora bolag och offentliga organisationer. Mikael skriver på IDG Expert och även Conscia Netsafes blogg (exempelvis här och här).

Foto: G Moree/Flickr

 

Kontakta oss!
Svar inom 24h