美国的网络安全业者Red Balloon Security本周公布了存在于思科(Cisco)「信任锚」(Trust Anchor module,TAm)模块中的安全漏洞,允许本地端黑客窜改韧体映像档,殃及所有部署TAm的思科产品,从网络及内容安全装置、路由器、交换机到语音暨统一通讯产品都受到影响,由于它属于硬件设计漏洞,研究人员认为很难藉由软件修补来解决。网通设备大厂思科建立了Secure Boot机制来确保思科设备在启动时的韧体完整性,而TAm即是专门用来验证安全开机程序的硬件装置,在系统开启时执行一连串的指令,以立即验证开机加载程序的完整性,一但侦测到任何不妥,就会通知使用者并重新启动,以防止设备执行被窜改的开机加载程序。
至于安全研究人员所发现的Thrangrycat漏洞,则可藉由操纵现场可程序化逻辑门阵列(Field Programmable Gate Array,FPGA)的比特流(bitstream)来绕过TAm的保护。这是因为TAm原本就得依赖外部的FPGA,在设备开机后,FPGA会加载未加密的比特流来提供TAm的信任功能。此一漏洞则允许具备根权限的黑客窜改FPGA比特流的成份,以关闭TAm的重大功能,成功的窜改不仅能持久存在,令TAm的安全功能失效,也有机会阻止TAm比特流的任何软件更新。此外,倘若搭配其它的远程命令注入漏洞,黑客将可自远程永远地绕过思科设备的安全启动机制。
Red Balloon Security是在去年的11月知会思科,思科也在同一天发表了安全通报,证实成功开采该漏洞的黑客将可窜改FPGA的韧体映像档,还可能干预安全启动程序或造成设备无法使用,在特定的情况下,黑客亦可植入及启动恶意的软件映像文件,而且举凡所有支持基于硬件之Secure Boot功能的设备都被影响。根据思科所列出的产品列表,总计波及了超过130款产品。思科表示,该公司正式在打造锁定不同平台的软件修补程序,在多数的情况下,此一修补程序需要针对就地部署的低阶硬件组件重新程序化,但若程序稍有闪失,可能造成设备无法使用且必须更换设备。相关图片来源提供:sbf胜博发票务 http://www.ktnetks.com.tw
这起事件还有另一件吸引外界目光的焦点,这次研究人员表达漏洞的首选是由三只小猫组成的图释,由字母组成的Thrangrycat只是方便人们阅读,所以在整篇文章中不时可看到的出现。研究人员说明,以取代Thrangrycat,是为了彰显该研究并无任何语言或文化上的偏见,图释已是数字时代的象征,它跟数学一样都是透过语际符号来表达,而猫咪的矛盾特性恰好可用来形容该漏洞。迄今除了研究人员针对思科ASR 1001-X设备所进行的攻击示范之外,不管是思科或Red Balloon Security都尚未发现其它攻击行动或开采程序,而Red Balloon Security则准备在8月的黑帽(Black Hat)安全会议上进行展示。
1398
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
