باگ CISCO ROUTER دارای پیامدهای جهانی فراوانی است.
روتر سری CISCO 1001-X خیلی شبیه به همان چیزی که در خانه دارید، نیست. خیلی بزرگتر و بسیار گرانتر است، مسئول اتصال قابل اعتماد در بورس اوراق بهادار، دفاتر شرکت، مرکز خرید محلی شما و غیره است. به عبارت دیگر، این روترها نقش مهمی را در موسسات بازی می کنند، از جمله برخی از آنها که با اطلاعات بسیار حساس سرو کار دارند. در حال حاضر محققان یک حمله از راه دور را افشا می کنند که به طور بالقوه به هکر اجازه می دهد تا هر روتر 1001-X را در اختیار گرفته و تمام داده ها و دستورات را از طریق آن سرقت کرده و یا با اطلاعات غلط جایگزین نماید.
برای به خطر انداختن روترها، محققان شرکت امنیتی Red Balloon دو آسیب پذیری را مورد بررسی قرار دادند. اولین مشکل در سیستم عامل IOS CISCO است (که نبایستی با iOS اپل اشتباه گرفته شود) که به هکر اجازه می دهد از راه دور دسترسی به Root دستگاه ها را به دست آورد. این یک آسیب پذیری بد است، اما غیر معمول نیست، مخصوصا برای روترها. به علاوه می توان از طریق یک پچ نرم افزاری نسبتا راحت آن را تصحیح نمود.
“این یک لنگر قابل اعتماد نیست.”
آسیب پذیری دوم، با این حال، بسیار بدتر است. هنگامی که محققان دسترسی به Root را به دست می آورند، می توانند از اساسی ترین سد امنیتی روتر عبور کنند. این ویژگی امنیتی CISCO به نام “لنگر اطمینان” از سال 2013 در تقریبا تمام دستگاههای سازمانی شرکت CISCO تعبیه شده است. این واقعیت که محققان راهی برای شکستن آن در یک دستگاه یافته اند، نشان می دهد که ممکن است با استفاده از تغییرات خاص برای هر مدل ، برای شکستن لنگر اعتماد در صدها میلیون واحد CISCO در سراسر جهان استفاده نمود. این شامل همه چیز از روترهای سازمانی تا سوئیچ های شبکه و فایروال ها است.
در عمل، این به این معنی است که مهاجم می تواند از این تکنیک ها برای به خطر انداختن کامل شبکه های این دستگاه ها استفاده کند. با توجه به استفاده فراگیر از محصولات CISCO، احتمال بالقوه خطر بسیار زیاد خواهد بود.
Ang Cui ، بنیانگذار و مدیر عامل شرکت Red Balloon، که سابقه آشکار نمودن آسیب پذیری های عمده CISCO را دارد، می گوید: “ما نشان دادیم که می توانیم بی سرو صدا و به صورت مستمر “لنگر اطمینان” را غیر فعال کنیم. این به این معناست که ما می توانیم تغییرات دلخواه را به یک روتر CISCO اعمال نموده ولی “لنگر اطمینان” هنوز گزارش می دهد که این دستگاه قابل اعتماد است که بسیار ترسناک و بد است.”
لنگر انداختن
در سال های اخیر، شرکت هایی با تفکر امنیتی، به طور فزاینده ای تمهیدات امنیتی را به مادربردها اضافه کرده اند. راه حل های مختلف با نام های مختلف: اینتل با نام SGX، Arm با نام TrustZone، اپل با “محدوده امن” و CISCO دارای “لنگر اعتماد” است.
آنها به صورت متفاوتی شامل یک بخش امن از حافظه رایانه یا یک تراشه گسسته – یک واسط امن و منزوی دور از پردازنده اصلی رایانه است. هیچ کاربر یا ادمینی با هر درجه ای از کنترل روی سیستم، نمیتواند محدوده امن را تغییر دهد. با توجه به ماهیت تغییر ناپذیر آن، محدوده امنیتی میتواند با مراقبت دائمی صحت هر چیز دیگری را مورد بررسی و تایید قرار دهد.
مهندسان متخصص امنیت به طور کلی این طرح ها را در تئوری و در تولید قوی و منسجم در نظر می گیرند. اما در عمل، اتکا تنها به یک عامل کنترل کننده می تواند خطرناک باشد. این نوع حفاظت که در بسیاری از شرکت ها پیاده سازی شده است، امنیت اطلاعات را تحت تأثیر و بی دفاع قرار می دهد. بدتر از آن، دستکاری آن می تواند نشان دهد که همه چیز خوب است، حتی زمانی که نیست.
“لنگر اطمینان” مسئول حفاظت از سخت افزار و نرم افزار هماهنگ سازی کدهای اساسی و اعلام اینکه اصلی و بدون تغییر هستند می باشد. این یک راه بسیار مهم برای اطمینان از اینکه مهاجم کنترل دستگاه را به دست نیاورده است، می باشد. اما تیم Red Balloon به طور خاص نشان دادند که می توانند فرآیند بوت امن دستگاه 1001-X CISCO را در اختیار قرار بگیرند.
در روز دوشنبه، CISCO اعلام کرد که پچ تصحیح کننده برای آسیب پذیری کنترل از راه دور IOS که محققان Red Balloon کشف کرده اند را تولید نموده است. شرکت می گوید که برای تمام خانواده های محصول، پچ مناسب را که به طور بالقوه برای حملات محرمانه امنیتی مانند آنهایی که محققان نشان داده اند که آسیب پذیر هستند ارائه می دهد. سیسکو با هرگونه توصیف ماهیت یا زمانبندی این اصلاحات پیش از اعلام عمومی مخالفت کرد. همچنین متذکر شد که آسیب پذیری بوت امن به طور مستقیم بر “لنگر اطمینان” تاثیر نمی گذارد. با توجه به بولتن امنیتی آن، همه اصلاحات هنوز ماهها تا انتشار فاصله دارند، و در حال حاضر هیچ راه حلی وجود ندارد. سیکسو میگوید، زمانی که پچ ها ارائه شوند، نیاز به برنامه نویسی مجدد مستقیم روی دستگاه دارند، به این معنی که رفع آنها نمیتواند از راه دور انجام شود، زیرا آنها بنیادی هستند.
سخنگوی کمپانی سیسکو در یک بیانیه کتبی به WIRED اعلام نمود: “به عنوان شفاف سازی، CISCO چندین قابلیت امنیتی مربوط به پلتفرم مکمل را تبلیغ می کند.” یکی از آن ها که مرتبط به این بحث می باشد “بوت امن CISCO” است که اعتماد برای یکپارچگی و صحت نرم افزار سیستم را فراهم می کند. یکی دیگر از قابلیت های ارائه شده در سیستم عامل های خاص CISCO، “ماژول لنگر اعتماد” است که اطمینان سخت افزاری، هویت پلتفرم و سایر سرویس های امنیتی را کنترل می کند. “ماژول لنگر اعتماد” به طور مستقیم در کار نشان داده شده توسط Red Balloon نیست.”
به نظر می رسد CISCO بین “فن آوری های لنگر اعتماد”، “سیستم های قابل اطمینان” و “ماژول لنگر اعتماد” تمایز ایجاد می کند، که ممکن است توضیح دهد چرا فقط در بوت امن در تحقیقات ذکر شده است.
هرچند محققان Red Balloon با آن مخالفند. آنها خاطرنشان می کنند که ثبت اختراع CISCO و سایر اسناد نشان می دهد که لنگر اعتماد، بوت امن را اجرا می کند. اگر بوت امن تضعیف شود، لنگر اعتماد نیز لزوما شکست خورده است، زیرا تمام ابزارها در یک زنجیره اعتماد با هم قرار دارند.
شما می توانید آن را در این نمودار CISCO مشاهده کنید. Cisco Trustworthy
Cui می گوید: “به همین دلیل آنها آن را لنگر نامیده اند! این یک لنگر قابل اعتماد نیست.
تور FPGA
گروه تحقیقاتی که شامل Jatin Kataria، دانشمند Red Balloon و Rick Housley ، یک محقق مستقل امنیتی بود، توانستند با دستکاری یک جزء سخت افزاری در هسته Trust Anchor، به نام “Field Programmable Gate Array” از بوت امن CISCO عبور کنند. مهندسان کامپیوتر اغلب به FPGA به عنوان “جادو” اشاره می کنند زیرا می توانند مانند میکروکنترلرها عمل کنند – پردازنده هایی که اغلب در دستگاه های جاسازی شده استفاده می شود، اما همچنین می توانند در محل، دوباره برنامه ریزی شوند. این بدان معنی است که بر خلاف پردازنده های سنتی، که پس از تولید توسط سازنده نمی تواند به صورت فیزیکی تغییر کند، مدارهای FPGA را می توان پس از استقرار تغییر داد.
FPGA ها برنامه های خود را از یک فایل به نام bitstream می گیرند، که معمولا توسط سازندگان سخت افزاری مانند CISCO نوشته شده است. برای محافظت FPGA از هکرها، بسیار دشوار است که bitstream از خارج دستکاری شود. آنها حاوی مجموعه ای از دستورات پیچیده پیکربندی هستند که به صورت فیزیکی دیکته می کنند که آیا دروازه های منطقی در یک مدار باز یا بسته شوند. محققان امنیتی ارزیابی کرده اند که قدرت محاسباتی مورد نیاز برای نقشه برداری یک bitstream FPGA بسیار زیاد است.
“اثبات اینکه شما فقط نمی توانید به FPGA تکیه کنید تا جادو را برای شما انجام دهد.”
اما محققان Red Balloon دریافتند که در روشی که FPGA برای لنگر اطمینان CISCO اجرا شده است، آنها نیازی به نقشه کلی bitstream ندارند. آنها کشف کردند که وقتی که بوت امن CISCO نقص اعتماد در یک سیستم را تشخیص داد، 100 ثانیه صبر می کند – یک مکث برنامه ریزی شده توسط مهندسان CISCO، شاید برای خرید زمان کافی برای قرار دادن به روز رسانی تعمیر در صورت خرابی – و پس از آن به صورت فیزیکی پاور دستگاه را قطع می نماید. محققان متوجه شدند که با تغییر بخشی از bitstream که این کلید قطع را کنترل می کند، می توانند از روی آن عبور کنند. پس از آن دستگاه به طور معمول بوت می شود، حتی اگر بوت ایمن دقیقا یک نقص را شناسایی کرد.
“Kataria از Red Balloon می گوید” این کشف بزرگی بود. “لنگر اعتماد باید به همه بگوید که چیز بدی اتفاق افتاده است. بنابراین ما مهندسی معکوس را روی پین های برد شروع کردیم. ما تمام پین ها را در یک منطقه غیر فعال کردیم و سعی کردیم روتر را بوت کنیم. اگر هنوز هم کار می کرد، می دانستیم که هیچیک از این پین ها دخیل نیستند. در نهایت، پین Reset را پیدا کردیم و به آن بخش مورد نظر از bitstream دسترسی پیدا کردیم.”
محققان این کار آزمایش و خطا را روی مادربردهای شش روتر سری 1001-X انجام دادند. قیمت هر کدام از آنها 10،000 دلار بود و این تحقیقات را بسیار هزینه بر کرد. آنها همچنین در طول فرایند جابجایی قطعات و لحیم بر روی بردها، دو روتر را از بین بردند.
مهاجمین هم همانطور که Red Balloon انجام داد، این کار را زودتر انجام داده اند، و تست سوءاستفاده از راه دور در دستگاه ها را قبل از اعمال آن به نتیجه رسانده اند. برای راه اندازی این حمله، هکرها ابتدا از یک آسیب پذیری دسترسی به ریشه از راه دور استفاده می کنند تا جای پای خود را بگشایند، سپس مرحله دوم را برای شکستن بوت امن و سپس به طور عمیق تر اتصال به لنگر اعتماد آغاز می نمایند. در آن لحظه، قربانیان هیچ نشانه ای برای مشکوک شدن به چیزی ندارند، زیرا دستگاه هایشان به طور معمول بوت می شوند.
جاش توماس، مؤسس و مدیر اجرایی دستگاه های تعبیه شده و شرکت کنترل امنیت صنعتی Atredis می گوید: “آگاهی از نتایج این تحقیق امیدوارانه به شرکت ها یادآوری می کند که این اصول طراحی CISCO دیگر امن نخواهد بود.” “این ثابت می کند که شما فقط نمی توانید بر روی FPGA تکیه کنید تا جادو را برای شما انجام دهد. و این آنچنان در سطح پایین اتفاق می افتد که برای شناسایی بسیار دشوار است. در نقطه ای که از بوت امن عبور شده است، اعتماد تمام کسانی که به دستگاه اطمینان دارند از بین رفته است.”
مشکلات بزرگتر
محققان Thomas و Red Balloon می گویند که مشتاق هستند ببینند که CISCO کدام نوع اصلاحات را منتشر خواهد کرد. آنها نگران هستند که بدون تغییرات سخت افزاری معماری لنگر اطمینان CISCO ممکن است این هدف امکان پذیر نباشد. این امر می تواند شامل تولید FPGA در نسل های آینده با bitstream رمزگذاری شده باشد. این می تواند از لحاظ مالی و محاسباتی دشوارتر باشد، اما در مقابل حمله آسیب پذیر نخواهد بود.
و پیامدهای این تحقیق با CISCO پایان نیافته است. Thomas، همراه با Nathan Keltner ، موسس Atredis، تاکید می کنند که تاثیر بزرگتر احتمالا مفاهیم جدیدی است که می تواند روش های جدید دستکاری bitstreams را در محصولات بی شماری در سرتاسر دنیا، از جمله دستگاه های که FPGA دارند و یا محیط های حساس ایجاد کند.
در حال حاضر، Cui موسس Red Balloon فقط نگران تمام دستگاه های CISCO در جهان است که برای این نوع حمله آسیب پذیر هستند. CISCO به WIRED گفت که در حال حاضر برنامه ای برای انتشار ابزار ارزیابی برای مشتریانش که آیا دستگاه هایشان در حال حاضر تحت تاثیر قرار گرفته است، ندارد و اعلام نموده که این شرکت هیچ نشانه و مدرکی از این حمله در دنیا در دست ندارد.
اما همانطور که Cui می گوید، “هزینه ده ها هزار دلار و سه سال انجام این کار برای ما خیلی زیاد بود. اما یک سازمان با انگیزه و با پول زیاد که می تواند بر روی این کار تمام وقت تمرکز کند، آن را بسیار سریعتر توسعه می دهد. و برای آنها ارزش دارد. بسیار بسیار ارزشمند است. “
منبع: https://www.wired.com/story/cisco-router-bug-secure-boot-trust-anchor