Une vulnérabilité divulguée ce mardi permet aux pirates d’installer des backdoors persistantes sur les équipements Cisco, même via Internet et sans accès physique aux dispositifs vulnérables. Baptisée Thrangrycat, la vulnérabilité affecte le module Trust Anchor (TAm), une puce de sécurité matérielle propriétaire qui fait partie de l’équipement déployé par Cisco depuis 2013.
Dans des circonstances normales, la plupart des appareils seraient sécurisés. Cependant, si un attaquant enchaîne une faille de sécurité qui lui permet d’accéder à l’équipement Cisco en tant que root, alors cette vulnérabilité entre en jeu et devient un gros problème pour les propriétaires de périphériques. Malheureusement pour tous les propriétaires d’équipements Cisco, la même équipe de Red Balloon Security a également découvert un défaut d’exécution du code à distance dans l’interface Web du logiciel Cisco IOS XE qui fonctionne sur les appareils Cisco, qui peut être utilisé pour obtenir un accès root sur les routeurs Cisco.
Cisco déclare n’avoir détecté à ce jour aucune attaque exploitant ces deux failles. Néanmoins, compte tenu du fait que le code de validation de principe permettant de démontrer les deux défauts est disponible dans le domaine public, on s’attend à ce que des attaques se produisent. Sur un site Web consacré à la vulnérabilité de Thrangrycat, l’équipe de Red Balloon Security annonce son intention de présenter un outil de détection des attaques de Thrangrycat en août de cette année, lors de la conférence Black Hat 2019.