Một Lỗ Hổng Trên Router Cisco Với Tác Động Toàn Cầu Lớn

Dòng router Cisco 1001-X không giống như cái bạn thường thấy ở nhà. Nó lớn hơn và đắt đỏ hơn nhiều, đảm bảo kết nối đáng tin cậy tại các sàn giao dịch chứng khoán, văn phòng doanh nghiệp, trung tâm mua sắm địa phương của bạn, và nhiều nơi khác nữa. Các thiết bị đóng vai trò then chốt tại các tổ chức, nói cách khác, bao gồm cả những nơi xử lý thông tin cực kỳ nhạy cảm. Bây giờ, các nhà nghiên cứu đang tiết lộ một cuộc tấn công từ xa có thể cho phép một hacker tiếp quản bất kỳ router 1001-X nào và đe dọa tất cả dữ liệu và lệnh điều khiển truyền qua nó.

Và tình hình chỉ trở nên tồi tệ hơn từ đó.

Để tận dụng lỗ hổng trên các router, các nhà nghiên cứu từ công ty bảo mật Red Balloon đã khai thác hai lỗ hổng. Lỗ hổng đầu tiên là một lỗi trong hệ điều hành IOS của Cisco—không nên nhầm lẫn với iOS của Apple—nó sẽ cho phép hacker từ xa có thể thu được quyền truy cập root vào các thiết bị. Đây là một lỗ hổng nghiêm trọng, nhưng không lạ, đặc biệt là đối với các router. Nó cũng có thể được khắc phục khá dễ dàng thông qua một bản vá phần mềm.

Nhưng lỗ hổng thứ hai lại đen tối hơn nhiều. Khi các nhà nghiên cứu đạt được quyền truy cập root, họ có thể vượt qua bảo vệ an ninh cơ bản nhất của router. Được biết đến với tên gọi Trust Anchor, tính năng an ninh này của Cisco đã được triển khai trên gần như tất cả các thiết bị doanh nghiệp của công ty kể từ năm 2013. Việc các nhà nghiên cứu đã chứng minh được cách vượt qua nó trên một thiết bị cho thấy có thể, với sự sửa đổi cụ thể của từng thiết bị, đánh bại Trust Anchor trên hàng trăm triệu đơn vị Cisco trên toàn thế giới. Điều này bao gồm từ router doanh nghiệp đến công tắc mạng và tường lửa.

Trong thực tế, điều này có nghĩa là một kẻ tấn công có thể sử dụng những kỹ thuật này để hoàn toàn kiểm soát các mạng mà những thiết bị này đang kết nối đến. Với sự phổ biến của Cisco, hậu quả tiềm ẩn sẽ rất lớn.

“Chúng tôi đã chứng minh được rằng chúng tôi có thể tắt Trust Anchor một cách yên lặng và kiên nhẫn,” nói Ang Cui, người sáng lập và CEO của Red Balloon, người đã tiết lộ nhiều lỗ hổng lớn của Cisco. “Điều đó có nghĩa là chúng tôi có thể thay đổi tùy ý trên một router Cisco, và Trust Anchor vẫn sẽ báo cáo rằng thiết bị là đáng tin cậy. Điều này làm kinh hãi và xấu, vì nó xuất hiện trong mọi sản phẩm quan trọng của Cisco. Mọi thứ.”

Đặt Mỏ Neo

Trong những năm gần đây, các công ty chú trọng đến an ninh ngày càng thêm "vùng an toàn" vào bo mạch chủ. Các giải pháp khác nhau mang các tên khác nhau: Intel có SGX, Arm có TrustZone, Apple có khu vực an toàn. Và Cisco có Trust Anchor.

Chúng thường bao gồm một phần an toàn của bộ nhớ thông thường của máy tính, hoặc một chip riêng biệt—một ốc đảo an toàn, xa lạ khỏi sự hỗn loạn của bộ xử lý chính của máy tính. Không người dùng hoặc quản trị viên nào có thể sửa đổi vùng an toàn, dù họ có bao nhiêu quyền kiểm soát hệ thống. Do tính chất bất biến của nó, vùng an toàn có thể giám sát và xác minh tính toàn vẹn của mọi thứ khác.

Các kỹ sư an ninh máy tính nói chung đánh giá các kế hoạch này là ý tưởng tốt và có ích khi triển khai. Nhưng trong thực tế, việc phụ thuộc vào một yếu tố duy nhất để kiểm tra toàn bộ hệ thống có thể nguy hiểm. Sự đánh đổ biện pháp bảo vệ đó—điều mà đã được thực hiện được trong nhiều triển khai của các công ty—làm mất đi các bảo vệ quan trọng của thiết bị. Tệ hơn nữa, việc thao túng vùng an toàn có thể làm cho mọi thứ trở nên bình thường, ngay cả khi không phải như vậy.

Đó chính là trường hợp của Cisco 1001-X. Đội ngũ Red Balloon đã chỉ ra cụ thể rằng họ có thể đe dọa quá trình khởi động an toàn của thiết bị, một chức năng được triển khai bởi Trust Anchor để bảo vệ mã cơ bản điều phối phần cứng và phần mềm khi thiết bị bật, và kiểm tra xem nó có đúng và chưa được sửa đổi hay không. Đó là một cách quan trọng để đảm bảo rằng một kẻ tấn công không kiểm soát hoàn toàn thiết bị.

Vào thứ Hai, Cisco công bố một bản vá cho lỗ hổng điều khiển từ xa của IOS mà nhóm nghiên cứu Red Balloon đã phát hiện. Và công ty cho biết sẽ cung cấp cả bản vá cho tất cả các dòng sản phẩm có khả năng bị tấn công vùng an toàn như những gì các nhà nghiên cứu đã thể hiện. Cisco từ chối đặc tính tự nhiên hay thời gian của những bản vá này trước khi công bố công khai. Nó cũng phủ nhận rằng lỗ hổng khởi động an toàn ảnh hưởng trực tiếp đến Trust Anchor. Theo thông báo bảo mật của nó, tất cả các bản vá vẫn còn một vài tháng nữa mới được phát hành, và hiện tại không có phương thức tạm thời nào. Khi các bản vá xuất hiện, Cisco nói, chúng sẽ “đòi hỏi phải được lập trình lại tại chỗ,” có nghĩa là các bản vá không thể được triển khai từ xa, vì chúng quá cơ bản.

“Như một điểm làm rõ, Cisco quảng cáo nhiều khả năng bảo mật liên quan và bổ sung,” một người phát ngôn nói với Mytour trong một tuyên bố bằng văn bản. “Một trong những khả năng có liên quan đến cuộc trò chuyện này là Cisco Secure Boot, cung cấp một nguồn tin cậy cho tính toàn vẹn và chính xác của phần mềm hệ thống. Một khả năng khác được cung cấp trong một số nền tảng Cisco là mô-đun Trust Anchor, giúp cung cấp tính xác thực phần cứng, danh tính nền tảng và các dịch vụ bảo mật khác cho hệ thống. Mô-đun Trust Anchor không trực tiếp liên quan đến công việc được Red Balloon thể hiện.”

Cisco có vẻ tạo ra sự phân biệt giữa "Công nghệ Trust Anchor," "Hệ thống đáng tin cậy," và "Mô-đun Trust Anchor," có thể giải thích tại sao nó chỉ xem khởi động an toàn là liên quan đến nghiên cứu.

Tuy nhiên, nhóm nghiên cứu Red Balloon không đồng ý. Họ lưu ý rằng bằng sáng chế của Cisco và các tài liệu khác cho thấy rằng Trust Anchor thực hiện khởi động an toàn. Nếu khởi động an toàn bị đánh đổ, Trust Anchor cũng bị đánh bại bắt buộc, vì tất cả các công cụ đều nằm trong một chuỗi tin cậy cùng nhau. Bạn có thể thấy điều này được minh họa trong biểu đồ của Cisco.

“Đó là lý do họ gọi nó là một neo! Nó không phải là một phao tin cậy,” Cui nói.

Chuyến Thăm FPGA

Nhóm nghiên cứu, bao gồm cả Jatin Kataria, nhà khoa học chính của Red Balloon, và Rick Housley, một nhà nghiên cứu bảo mật độc lập, đã có thể vượt qua các bảo vệ khởi động an toàn của Cisco bằng cách thao túng một thành phần phần cứng tại trung tâm của Trust Anchor được gọi là “mạch lập trình cổng trường.” Kỹ sư máy tính thường gọi FPGAs là “phép màu,” vì chúng có thể hoạt động giống như các bộ điều khiển vi xử lý thường được sử dụng trong các thiết bị nhúng, nhưng cũng có thể được lập trình lại trên thực địa. Điều đó có nghĩa là, khác với các bộ xử lý truyền thống, mà không thể được thay đổi vật lý bởi một nhà sản xuất sau khi chúng ra khỏi thế giới, các mạch của FPGA có thể được thay đổi sau khi triển khai.

FPGAs rút chương trình của chúng từ một tệp gọi là bitstream, thường được viết tùy chỉnh bởi các nhà sản xuất phần cứng như Cisco. Để ngăn FPGAs khỏi việc được lập trình lại bởi những người đi qua gian trá, bitstreams của FPGA rất khó hiểu từ bên ngoài. Chúng chứa một loạt các lệnh cấu hình phức tạp mà vật lý đặt ra liệu cổng logic trong một mạch có mở hay đóng, và các nhà nghiên cứu bảo mật đánh giá FPGAs đã phát hiện rằng công suất tính toán cần thiết để ánh xạ logic bitstream của một FPGA là quá cao.

Nhưng nhóm nghiên cứu Red Balloon phát hiện rằng cách FPGA được triển khai cho Trust Anchor của Cisco, họ không cần phải ánh xạ toàn bộ bitstream. Họ phát hiện rằng khi khởi động an toàn của Cisco phát hiện một vi phạm tin cậy trong hệ thống, nó sẽ đợi 100 giây—một đợt tạm dừng được lập trình bởi kỹ sư Cisco, có lẽ để có đủ thời gian triển khai bản vá sửa chữa trong trường hợp có lỗi—và sau đó tắt nguồn điện trên thiết bị. Các nhà nghiên cứu nhận ra rằng bằng cách sửa đổi phần của bitstream kiểm soát công tắc tắt này, họ có thể ghi đè lên nó. Thiết bị sau đó sẽ khởi động bình thường, ngay cả khi khởi động an toàn phát hiện một vi phạm một cách chính xác.

“Đó là cái nhìn lớn,” Kataria của Red Balloon nói. “Trust Anchor phải thông báo cho thế giới biết rằng đã xảy ra điều gì đó xấu qua một chân vật lý nào đó. Vì vậy, chúng tôi bắt đầu đảo ngược kỹ thuật nơi mỗi chân xuất hiện trong bố trí vật lý của bo mạch. Chúng tôi vô hiệu hóa tất cả các chân trong một khu vực và thử khởi động router; nếu nó vẫn hoạt động, chúng tôi biết rằng tất cả những chân đó không phải là chân cần tìm. Cuối cùng, chúng tôi tìm thấy chân đặt lại và làm việc ngược lại chỉ với phần đó của bitstream.”

Các nhà nghiên cứu đã thực hiện công việc thử nghiệm này trên bo mạch của sáu router dòng 1001-X. Mỗi chiếc có giá lên đến khoảng 10,000 đô la, làm cho cuộc điều tra gần như không thể thực hiện vì quá đắt đỏ. Họ cũng hỏng hai router trong quá trình thực hiện thao tác vật lý và hàn trên bo mạch để tìm chân đặt lại.

Một kẻ tấn công sẽ thực hiện tất cả công việc này trước như Red Balloon đã làm, phát triển chuỗi tận dụng từ xa trên các thiết bị thử nghiệm trước khi triển khai nó. Để tiến hành cuộc tấn công, hacker sẽ đầu tiên sử dụng lỗ hổng truy cập root từ xa để có địa vị, sau đó triển khai giai đoạn thứ hai để đánh bại khởi động an toàn và có thể xâm nhập sâu hơn vào Trust Anchor. Tại điểm đó, nạn nhân sẽ không có lý do nào nghi ngờ có điều gì đó không ổn, vì thiết bị của họ sẽ khởi động bình thường.

“Sự tiếp xúc từ nghiên cứu này hy vọng sẽ nhắc nhở các công ty không chỉ là Cisco rằng những nguyên tắc thiết kế này sẽ không còn an toàn nữa,” Josh Thomas, đồng sáng lập viên và giám đốc điều hành của công ty an ninh thiết bị nhúng và kiểm soát công nghiệp Atredis nói. “Điều này là bằng chứng cho thấy bạn không thể chỉ tin tưởng vào FPGA để thực hiện phép màu cho bạn. Và nó ở mức rất thấp nên rất khó phát hiện. Tại điểm bạn đã ghi đè lên khởi động an toàn, tất cả niềm tin vào thiết bị đã mất.”

Vấn Đề Lớn Hơn Nữa

Thomas và nhóm nghiên cứu Red Balloon cho biết họ rất mong đợi xem Cisco sẽ phát hành những loại vá nào. Họ lo ngại rằng có thể không thể giảm nhẹ hoàn toàn lỗ hổng mà không có sự thay đổi vật lý đối với kiến trúc của Trust Anchor của Cisco. Điều đó có thể liên quan đến triển khai một FPGA trong các thế hệ sản phẩm tương lai có bitstream được mã hóa. Những điều này về mặt tài chính và tính toán đều khó khăn hơn để triển khai, nhưng sẽ không bị tổn thương bởi cuộc tấn công này.

Và những tác động của nghiên cứu này không chỉ dừng lại với Cisco. Thomas, cùng với đồng sáng lập Nathan Keltner của Atredis, nhấn mạnh rằng tác động lớn hơn có thể sẽ là các khái niệm mới mẻ mà nó giới thiệu có thể tạo ra các phương pháp mới để thao túng bitstream của FPGA trong vô số sản phẩm trên toàn thế giới, bao gồm cả các thiết bị trong môi trường quan trọng hoặc nhạy cảm.

Tuy nhiên, vào lúc này, Cui của Red Balloon chỉ lo lắng về tất cả các thiết bị Cisco trên thế giới có thể bị tấn công kiểu này. Cisco cho biết với Mytour rằng hiện tại họ không có kế hoạch phát hành một công cụ kiểm tra cho khách hàng để đánh giá xem thiết bị của họ đã bị tấn công hay chưa, và công ty nói rằng họ không có bằng chứng chứng minh phương pháp này đang được sử dụng trong môi trường thực tế.

Nhưng như Cui chỉ ra, “Mười nghìn đô la và ba năm làm điều này khi rảnh rỗi đã là rất nhiều đối với chúng tôi. Nhưng một tổ chức có động lực với rất nhiều tiền và có thể tập trung vào đây toàn thời gian sẽ phát triển nhanh chóng hơn nhiều. Và với họ, nó sẽ đáng giá. Rất, rất đáng giá.”

Các Bài viết Tuyệt vời khác trên Mytour

• Nhóm hacker đang triển khai loạt tấn công chiếm đầu chuỗi cung ứng
• Tìm kiếm người bạn thời thơ ấu dẫn đến một phát hiện đen tối
• Kế hoạch của LA để khởi động lại hệ thống xe buýt bằng dữ liệu điện thoại di động
• Ngành kháng sinh đang hỏng, nhưng có cách khắc phục
• Đưa ra khỏi đường San Andreas: Có một lỗi mới trong thị trấn
• 💻 Nâng cấp trò chơi làm việc của bạn với laptop, bàn phím, phương án gõ và tai nghe chống ồn yêu thích của đội ngũ Gear chúng tôi
• 📩 Muốn thêm không? Đăng ký nhận bản tin hàng ngày của chúng tôi và không bao giờ bỏ lỡ những câu chuyện tốt nhất của chúng tôi