Комментарии 8
Для проведения атаки злоумышленнику нужно получить root-права на устройстве
Тоже мне уязвимость
Еще какая уязвимость, повышение привилегий от локального рута до полного, окончательного и бесповоротного контроля над устройством, включая его root-of-trust.
Я правильно понял, что эта атака уровня «ваш корневой сертификат теперь заменён на наш/кроме вашего корневого сертификата теперь валиден и наш» и как результат вся цепочка secure boot натягивается без вазелина, если у вас циска?
Именно так, и даже веселее еще, потому что можно менять не только корневой сертификат, но и вообще все поведение корня доверия, причем там даже не код меняется как таковой, а FPGA bitstream. Всякое видел в своей жизни, но такое — в первый раз.
Красота то какая, лЯпота. Мне, как разработчику на FPGA, это очень нравится. По сути дела получается, что подменив битстрим я вообще могу чуть ли не альтернативную прошивку в устройство поставить так, что фиг её обнаружить удастся. Или к едрени фене сделать из этого корня доверия встроенный «корень DDoS»
Непонятно, к чему этот FPGA подключен, так что собрать себе на нем NES и играть в Черного Плаща прямо на коммутаторе не получится, я думаю, но и без этого уже зашквар полный. С другой стороны, дизайн нормальной цепочки доверия — не хрен собачий, а реализация — и подавно, и потому можно тут смеяться над ними в кулак, пока внезапно не окажется, что у самих рыло в пуху.
Мне не понятно одно — уже куча фирм налетали на клонирование китайцами их устройств. Причем от того, что битстрим на FPGA не был шифрованым/подписаным/была забыта установка бита запрета считывания прошивки. Почему в cisco не сделали шифрование прошивки такого важного узла, чем они думали, при учёте того, что шифрование битстрима уже сто лет в обед как есть в жЫрных FPGA, а с MAX10 оно и в дешевых CPLDшках даже появилось.
Считать биткоины может там и не выйдет, но с учетом того, что через этот корень прокачивается прошивка, вполне можно реализовать атаку формата «щяс мы вам коммутатор вырубим», если у нему можно как-то постучаться из сети(к примеру «типа прилетело обновление прошивки».
Считать биткоины может там и не выйдет, но с учетом того, что через этот корень прокачивается прошивка, вполне можно реализовать атаку формата «щяс мы вам коммутатор вырубим», если у нему можно как-то постучаться из сети(к примеру «типа прилетело обновление прошивки».
Исходя из описания на Thrangrycat, рискну сделать следующие предположения и комментарии: 1. функциональность Trust Anchora достаточно мелкая, поэтому можно было обойтись дешёвой мелкой плисиной; 2. шифрование битстрима в дешёвых мелких FPGA есть сравнительно недавно, в тех же мелких спартанах 6 ещё не было. 3. Задача прямых манипуляций с битстримом FPGA раньше считалась не совсем тривиальной, в частности вендоры держат в секрете полный формат битстрима, и в диссерах мелькали только модификации самых базовых частей типа блочной памяти или содержимого некоторых LUT-блоков. Но к году 2017 её в принципе уже раскачали. 4. Просто подменить битстрим на другой вроде недостаточно, там ведь формат взаимодействия какой-то между устройствами, залочится ещё. Как я понял, фишка в том, что атакующие расхачили прошивку FPGA и смогли не копаясь в ней слишком глубоко (по их словам without RTL reconstruction) убрать или изменить критические проверки. Опять же, не то чтобы это совсем простая задача, имхо.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Thrangrycat: критическая уязвимость в прошивке устройств Cisco позволяет хакерам устанавливать на них бэкдоры