圖片來源:翻攝自https://twitter.com/redballoonsec/status/1127995660504932352

美國的網路安全業者Red Balloon Security本周公布了存在於思科(Cisco)「信任錨」(Trust Anchor module,TAm)模組中的安全漏洞,允許本地端駭客竄改韌體映像檔,殃及所有部署TAm的思科產品,從網路及內容安全裝置、路由器、交換機到語音暨統一通訊產品都受到影響,由於它屬於硬體設計漏洞,研究人員認為很難藉由軟體修補來解決。

網通設備大廠思科建立了Secure Boot機制來確保思科設備在啟動時的韌體完整性,而TAm即是專門用來驗證安全開機程序的硬體裝置,在系統開啟時執行一連串的指令,以立即驗證開機載入程序的完整性,一但偵測到任何不妥,就會通知使用者並重新開機,以防止設備執行被竄改的開機載入程序。

至於安全研究人員所發現的Thrangrycat漏洞,則可藉由操縱現場可程式化邏輯閘陣列(Field Programmable Gate Array,FPGA)的位元流(bitstream)來繞過TAm的保護。這是因為TAm原本就得依賴外部的FPGA,在設備開機後,FPGA會載入未加密的位元流來提供TAm的信任功能。

此一漏洞則允許具備根權限的駭客竄改FPGA位元流的成份,以關閉TAm的重大功能,成功的竄改不僅能持久存在,令TAm的安全功能失效,也有機會阻止TAm位元流的任何軟體更新。

此外,倘若搭配其它的遠端命令注入漏洞,駭客將可自遠端永遠地繞過思科設備的安全啟動機制。

Red Balloon Security是在去年的11月知會思科,思科也在同一天發表了安全通報,證實成功開採該漏洞的駭客將可竄改FPGA的韌體映像檔,還可能干預安全啟動程序或造成設備無法使用,在特定的情況下,駭客亦可植入及啟動惡意的軟體映像檔,而且舉凡所有支援基於硬體之Secure Boot功能的設備都被影響。

根據思科所列出的產品列表,總計波及了超過130款產品。

思科表示,該公司正式在打造鎖定不同平臺的軟體修補程式,在多數的情況下,此一修補程式需要針對就地部署的低階硬體元件重新程式化,但若程序稍有閃失,可能造成設備無法使用且必須更換設備。

這起事件還有另一件吸引外界目光的焦點,這次研究人員表達漏洞的首選是由三隻小貓組成的表情符號,由字母組成的Thrangrycat只是方便人們閱讀,所以在整篇文章中不時可看到的出現。

研究人員說明,以取代Thrangrycat,是為了彰顯該研究並無任何語言或文化上的偏見,表情符號已是數位時代的象徵,它跟數學一樣都是透過語際符號來表達,而貓咪的矛盾特性恰好可用來形容該漏洞。

迄今除了研究人員針對思科ASR 1001-X設備所進行的攻擊示範之外,不管是思科或Red Balloon Security都尚未發現其它攻擊行動或開採程式,而Red Balloon Security則準備在8月的黑帽(Black Hat)安全會議上進行展示。


Advertisement

更多 iThome相關內容