Vakava haavoittuvuus Ciscon tuotteissa

Tietoturvatutkijat ovat löytäneet Ciscon tuotteista vakavan haavoittuvuuden, jota hyväksikäyttämällä hyökkääjän on mahdollista ohittaa olennainen tietoturvaominaisuus ja asentaa laitteeseen muokattu laiteohjelma (firmware).

Haavoittuvuudelle on annettu nimi ??? "Thrangrycat". Thrangrycat-haavoituvuus vaikuttaa useisiin Ciscon tuotteisiin, jotka tukevat rautapohjaista Secure Boot -toiminnallisuutta. Haavoittuvuuden hyväksikäyttö vaatii pääkäyttäjätason (root) oikeudet.

Cisco Secure Boot varmistaa rautatason Trust Anchor module -moduulin avulla laitteen käynnistymisen yhteydessä, että laitteen laiteohjelma (firmware) on aito ja muokkaamaton. Secure Boot on ollut käytössä käytännössä kaikissa Ciscon enterprise tason tuotteissa vuodesta 2013 lähtien.

Samat tutkijat ovat löytäneet myös Ciscon IOS XE -käyttöjärjestelmän web-käyttöliittymästä toisen haavoittuvuuden, jota hyväksikäyttämällä kirjautunut käyttäjä voi suorittaa komentoja laitteen perustana olevan Linux-komentotulkissa pääkäyttäjän (root) oikeuksin.

Haavoittuvuuden kohde

Tarkempi listaus tuotteista, joihin haavoittuvuus vaikuttaa lötyy valmistajan tiedotteesta Ulkoinen verkkopalvelu..

Mistä on kysymys?

Päivitä haavoittuvat ohjelmistot valmistajan ohjeiden mukaisesti, kun päivitykset tulevat saataville.
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot Ulkoinen verkkopalvelu.
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-webui Ulkoinen verkkopalvelu.

Mitä voin tehdä?

Verkon aktiivilaitteet

Verkon aktiivilaitteilla tarkoitetaan sellaisia laitteita, jotka ovat yleensä tavallisen käyttäjän näkymättömissä, kuten esimerkiksi reitittimet, kytkimet ja palomuurit. Nämä laitteet ja niiden ohjelmistot välittävät tai suodattavat verkkoliikennettä.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ei päivitystä

Haavoittuvuuden tultua julki ei korjausta siihen ole välttämättä heti saatavilla. Kohdejärjestelmät ovat alttiita haavoittuvuuden hyväksikäytölle jos niiden suojaamiseksi ei ryhdytä toimenpiteisiin.