Para peneliti telah menemukan kerentanan parah pada produk-produk Cisco yang dapat memungkinkan penyerang untuk menanamkan backdoor gigih pada berbagai perangkat yang digunakan dalam perusahaan dan jaringan pemerintah, termasuk router, switch, dan firewall.
Dijuluki Thrangrycat atau ???, kerentanan, yang ditemukan oleh para peneliti dari perusahaan keamanan Red Balloon dan diidentifikasi sebagai CVE-2019-1649, memengaruhi banyak produk Cisco yang mendukung modul Trust Anchor (TAm).
Modul Trust Anchor (TAm) adalah fungsionalitas Boot Aman berbasis perangkat keras yang diterapkan di hampir semua perangkat Cisco enterprise sejak 2013 yang memastikan firmware yang berjalan pada platform perangkat keras asli dan tidak dimodifikasi.
Namun, para peneliti menemukan serangkaian kelemahan desain perangkat keras yang memungkinkan penyerang yang terotentikasi untuk melakukan modifikasi gigih pada modul Trust Anchor melalui modifikasi bitstream FPGA dan memuat bootloader berbahaya.
"Seorang penyerang dengan hak akses root pada perangkat dapat memodifikasi isi bitstream jangkar FPGA, yang disimpan tanpa perlindungan dalam memori flash. Elemen-elemen dari bitstream ini dapat dimodifikasi untuk menonaktifkan fungsionalitas kritis dalam TAm," kata para peneliti.
"Modifikasi bitstream yang berhasil adalah persisten, dan Trust Anchor akan dinonaktifkan dalam urutan booting berikutnya. Juga dimungkinkan untuk mengunci semua pembaruan perangkat lunak ke bitstream TAm."
Rantai dengan Bug Jarak Jauh: Tidak Dibutuhkan Akses Fisik
Karena eksploitasi kerentanan memerlukan hak akses root, sebuah penasehat yang dikeluarkan oleh Cisco menekankan bahwa hanya penyerang lokal dengan akses fisik ke sistem yang ditargetkan yang dapat menulis gambar firmware yang dimodifikasi ke komponen.
Namun, peneliti Red Balloon menjelaskan bahwa penyerang juga dapat mengeksploitasi kerentanan Thrangrycat dari jarak jauh dengan merantainya bersama-sama dengan kelemahan lain yang dapat memungkinkan mereka untuk mendapatkan akses root atau, setidaknya, menjalankan perintah sebagai root.
Untuk menunjukkan serangan ini, peneliti mengungkapkan kerentanan RCE ( CVE-2019-1862) di antarmuka pengguna berbasis web dari sistem operasi IOS Cisco yang memungkinkan administrator yang masuk untuk menjalankan perintah sewenang-wenang pada shell Linux yang mendasari perangkat yang terkena dampak dengan hak akses root.
Setelah mendapatkan akses root, administrator nakal kemudian dapat mem-bypass modul Trust Anchor (TAm) dari jauh pada perangkat yang ditargetkan menggunakan kerentanan Thrangrycat dan menginstal backdoor berbahaya.
Inilah yang membuat kerentanan ini lebih parah:
"Dengan menghubungkan kerentanan injeksi perintah remote dan jarak jauh, seorang penyerang dapat secara jarak jauh dan terus menerus melewati mekanisme boot aman Cisco dan mengunci semua pembaruan perangkat lunak masa depan untuk TAm," kata para peneliti.
"Karena kelemahan berada dalam desain perangkat keras, tidak mungkin bahwa patch keamanan perangkat lunak akan sepenuhnya menyelesaikan kerentanan keamanan mendasar."
Sementara para peneliti menguji kerentanan terhadap router Cisco ASR 1001-X, ratusan juta unit Cisco menjalankan TAm berbasis FPGA di seluruh dunia — yang mencakup semuanya, mulai dari router perusahaan hingga switch jaringan dan firewall — sangat rentan.
Red Balloon Security secara pribadi melaporkan masalah tersebut ke Cisco pada November 2018 dan hanya merilis beberapa perincian kepada publik setelah Cisco mengeluarkan tambalan firmware untuk mengatasi kedua kekurangan dan mendaftarkan semua produk yang terpengaruh.
Cisco mengatakan perusahaan tidak mendeteksi serangan yang mengeksploitasi salah satu dari dua kerentanan ini.
Rincian lengkap kerentanan akan dirilis pada konferensi keamanan Black Hat USA tahun ini pada bulan Agustus.
Sumber Artikel : TheHackerNews
