Investigadores da Red Balloon identificaram duas falhas em sistemas da Cisco, sendo uma delas designada por Thrangrycat, dada pelo CVE-2019-1649, afetando os sistemas que suportem o módulo Trust Anchor.

A falha pode ser explorada por um atacante através da manipulação da bitstream Field Programmable Gate Array (FPGA).

A outra falha que diz respeito a uma problema de execução de código remota (CVE-2019-1862) é o último ponto de partida para os atacantes conseguirem comprometer e ultrapassar o mecanismo de segurança presente nestes sistemas da Cisco, além de poderem bloquear as atualizações do Trusted Anchor.

Este módulo, o Trusted Anchor, é um componente de hardware responsável por verificar a autenticidade do hardware da Cisco, e que implementa serviços de segurança adicionais.

Desta forma, um atacante com privilégios de sistema pode fazer uma modificação persistente a este módulo e carregar um bootloader malicioso.

A segunda falha pode ser explorada pela interface web do Cisco IOS, que permite a um administrador executar comandos numa shell Linux com privilégios de sistema. Assim que tenha acesso, o atacante pode ultrapassar o módulo supracitado (Trusted Anchor) e ativar a falha do Thrangrycat, instalando um backdoor aí.

Este problema é ainda mais grave, porque reside essencialmente no hardware dos sistemas.

Essencialmente, todos os sistemas da Cisco que tenham uma implementação do módulo Trusted Anchor com base na bitstream FPGA estão vulneráveis.

Fonte: https://www.zdnet.com/article/thrangrycat-flaw-lets-attackers-plant-persistent-backdoors-on-cisco-gear/