Cisco verwacht maanden ernstig beveiligingslek pas over maanden te dichten

15-05-2019 | door: Wouter Hoeffnagel

Cisco verwacht maanden ernstig beveiligingslek pas over maanden te dichten

Routers, switches en firewalls van Cisco bevatten een ernstige kwetsbaarheid die het mogelijk maakt beheerdersrechten te verkrijgen op de apparaten en de beveiliging te manipuleren. De Amerikaanse fabrikant verwacht maanden nodig te hebben om de problemen op te lossen.

De beveiligingsprobleem zijn ontdekt door beveiligingsbedrijf Red Balloon, dat het lek deze week openbaar heeft gemaakt. Het lek wordt 'Thangrycat' genoemd en zit in de Trust Anchor-beveiligingsmodule van de apparaten. Deze module verifieert de integriteit van de firmware op de Cisco-producten en vormt de basis voor de Secure Boot-opstartprocedure. De Trust Anchor-module is sinds 2013 in gebruik en is onder meer in switches, routers en firewalls verwerkt.

Twee stappen

De aanval bestaat uit twee stappen. In de eerste stap wordt misbruik gemaakt van een kwetsbaarheid waarmee op afstand een commando kan worden uitgevoerd op versie 16 van Cisco IOS XE. Dit maakt het mogelijk beheerdersrechten te verkrijgen van het apparaat. Vervolgens kan de aanvaller de fpga-bitstream aanpassen die wordt gebruikt om de pre-boot-omgeving te verifiëren, aangezien deze onversleuteld is. Door deze bitstream te manipuleren kunnen kritieke functies van de Trust Anchor-module worden aangepast. De wijzigingen zijn permanent; ook nadat een getroffen apparaat opnieuw is opgestart blijven de wijzigingen behouden.

In totaal zijn 150 verschillende routers van Cisco getroffen, waarvan miljoenen exemplaren wereldwijd in gebruik zijn. Een klein deel van deze routers krijgt nog deze maand een update om het lek te dichten. Voor andere apparaten wordt naar verwachting echter pas vanaf november een patch beschikbaar. Cisco meldt dat er geen workarounds beschikbaar zijn waarmee beheerders en gebruikers zichzelf tegen het probleem kunnen wapenen.

Een overzicht van kwetsbare producten is hier te vinden. Red Balloon geeft op een website meer informatie over het lek.

Terug naar nieuws overzicht
Hardware