一個思科路由器漏洞給全球帶來巨大隱患

研究人員發現了可以闖入思科安全啟動過程的一種方法，這可能會影響全球各地的數百萬路由器。

思科1001-X系列路由器與普通的家用路由器看起來不太一樣。它更龐大，價格也貴得多，負責為證券交易所、公司辦公室和地方購物中心等地方提供可靠連接。換句話說，該設備在一些機構（包括處理高度敏感信息的機構）扮演關鍵角色。現在研究人員披露了一種遠程攻擊，這種攻擊可能讓黑客得以接管任何1001-X路由器，並獲取流經該路由器的所有數據和命令。

而之後的情況只會變得更糟。

為了闖入路由器，安全公司Red Balloon的研究人員鑽了兩個漏洞的空子。第一個是思科IOS操作系統（別與蘋果的iOS搞混了）中的一個漏洞，該漏洞讓黑客得以遠程獲取設備的root訪問權。這是一個糟糕的漏洞，但並不罕見，對路由器而言尤為如此。但也比較容易通過軟體補丁來修復它。

然而，第二個漏洞危險得多。一旦研究人員獲得了root訪問權，他們可以繞過路由器最基本的安全保護機制。這項名為Trust Anchor（信任錨）的思科安全功能就部署在該公司自2013年以來製造的幾乎所有企業級設備中。事實上，研究人員演示了在一個設備中繞過該機制的方法，這表明如果針對特定設備進行改動，可以突破全世界數億個思科交換機上的Trust Anchor，包括從企業路由器、網路交換機到防火牆的所有產品。

實際上，這意味著攻擊者可以利用這種攻擊手法，完全攻陷這些設備所連接的網路。考慮到思科的產品無所不在，潛在的後果會很嚴重。

Red Balloon的創始人兼首席執行官Ang Cui過去經常披露重大的思科漏洞，他說：「我們已表明，我們可以悄悄地並持續地禁用Trust Anchor。這意味著我們可以任意改動思科路由器，而Trust Anchor仍會報告路由器值得信賴。這很可怕，也很糟糕，因為這項功能用在每一款重要的思科產品，每一款。」

丟棄Trust Anchor

近些年來，關注安全的公司日益將「secure enclave」添加到主板上。不同的解決方案有不同的名稱：英特爾有SGX，Arm有TrustZone，Apple有secure enclave，思科則有Trust Anchor。

它們各自包括計算機常規內存的一個安全部分或者獨立晶元，這好比是一片安全、隱蔽的綠洲，遠離混亂喧鬧的計算機主處理器。無論對系統擁有多大的控制權，任何用戶或管理員都無法改動secure enclave。由於具有不可改動的性質，secure enclave可以監視並驗證其他一切的完整性。

安全計算工程師通常認為這種方案理論上很可靠，部署起來很高效。而實際上，單單靠一個部件充當整個系統的把門人可能很危險。一旦破壞這道防線（這在許多公司實施的系統中已被證明是可行的），設備的關鍵保護機制就蕩然無存。更糟糕的是，對enclave做手腳可以讓人覺得一切完好，哪怕實際情況並不好。

思科1001-X就是這種情況。Red Balloon的團隊明確表明，他們可以闖入該設備的安全啟動過程，這是Trust Anchor實現的一項功能，設備開啟時可以保護協調硬體和軟體的基本代碼，並檢查它是否真實的且未經改動。這是確保攻擊者無法全面控制設備的一種關鍵方法。

思科ASR 1001-X路由器

周一思科宣布發布針對Red Balloon研究人員發現的IOS遠程控制漏洞的補丁。該公司表示，它還將為所有可能容易受到像研究人員演示的攻擊這樣的secure-enclave攻擊的產品系列提供修復程序。思科在公開披露之前拒絕詳細描述這些修復程序的性質或時間。它還對安全啟動漏洞直接影響Trust Anchor的說法表示了異議。據思科的安全公告顯示，所有修復程序離發布還有幾個月的時間，目前還沒有變通方法。思科表示，等補丁果真發布，它們將「需要內部重新編程」，這意味著無法遠程推送修復程序，因為它們實在太重要了。

發言人在書面聲明中對《連線》雜誌說：「有個地方需要說明一下，思科宣傳幾項有關的、互補的平台安全功能。與此討論有關的一項功能是思科安全啟動，該功能為系統軟體的完整性和真實性提供了信任根源（root of trust）。某些思科平台裡面提供的另一項功能是Trust Anchor模塊，該模塊有助於為系統提供硬體真實性、平台身份及其他安全服務。Trust Anchor模塊不直接參与Red Balloon演示的攻擊。」

思科似乎有意區分其「Trust Anchor技術」、「Trustworthy Systems」（可信賴系統）和「Trust Anchor模塊」，這也許可以解釋為什麼它只認為安全啟動與該研究有牽連。

不過，Red Balloon的研究人員不敢苟同。他們特別指出，思科的專利及其他文件表明Trust Anchor實施了安全啟動。如果安全啟動遭破壞，Trust Anchor必然也會遭到破壞，因為所有工具都在一條信任鏈中。思科的這份資料（https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/trustworthy-technologies-datasheet.pdf）直觀地表明了這一點。

Cui說：「這就是為什麼他們稱之為anchor！它並不是信任浮標（trust buoy）。」

FPGA之旅

該研究小組還包括Red Balloon的首席科學家Jatin Kataria和獨立安全研究人員Rick Housley，他們通過對Trust Anchor核心中名為「現場可編程門陣列」（FPGA）的硬體部件做手腳，繞過了思科的安全啟動保護機制。計算機工程師常常稱FPGA很「神奇」，因為它們的行為像微控制器（常用於嵌入式設備的處理器）那樣，但又可以在現場重新編程。這意味著與傳統處理器不同：傳統處理器一旦出廠，就無法被製造商進行物理改動，FPGA的電路可以在部署後加以改變。

FPGA從名為比特流的文件中提取編程內容，該文件通常由思科等硬體製造商專門編寫。為了防止FPGA被搞惡作劇的外人重新編程，FPGA比特流極難從外面解讀。它們包含一系列複雜的配置命令，這些命令實際上規定了電路中的邏輯門是打開還是關閉；評估FPGA的安全研究人員發現，映射FPGA比特流邏輯需要異常強大的計算能力。

但Red Ballon的研究人員研究思科的Trust Anchor實施FPGA的方式後發現，他們不需要映射整個比特流。他們發現，思科的安全啟動檢測到系統中的信任遭破壞後，會等100秒（思科工程師通過編程設定的暫停，也許是為了萬一出現故障，有足夠的時間來部署修復更新），然後實際終結設備電源。研究人員意識到，通過改動控制該終結開關（kill switch）的比特流部分，他們可以覆蓋它。然後，儘管安全啟動正確無誤地檢測到威脅，設備也會正常啟動。

Red Balloon的Kataria說：「這是一大發現。Trust Anchor要通過某種物理引腳表明發生了不好的事情。於是我們開始進行逆向工程，其中每個引腳在電路板的物理布局中顯露無遺。我們將禁用某一排的所有引腳，嘗試啟動路由器；如果路由器仍正常工作，我們就知道所有那些引腳不是我們要找的。最終我們找到了複位引腳，並一路反推，最終找到比特流的那個部分。」

研究人員在六個1001-X系列路由器的主板上進行了這項試錯試驗。每個路由器售價高達10000美元，因此調查起來成本太高，差一點開展不了。他們還在物理操縱和焊接電路板以查找複位引腳的過程中弄壞了兩個路由器。

攻擊者會像Red Balloon那樣事先完成所有這些工作，在測試設備上確定遠程攻擊順序，之後再部署。要發動這種攻擊，黑客先要利用遠程root訪問漏洞以獲得立足點，然後實施第二階段以挫敗安全啟動，可能還要更深入地潛入Trust Anchor。這時候，受害者沒有理由懷疑有任何岔子，因為他們的設備會正常啟動。

嵌入式設備和工業控制安全公司Atredis的聯合創始人兼首席運營官Josh Thomas說：「除了思科外，但願這項研究暴露的問題還會提醒其他公司，這些設計原則不再那麼安全可靠。這證明不能光依靠FPGA為你做神奇的工作。它處於很低的層面，因而極難察覺。在你覆蓋安全啟動時，設備中的所有信任都在那一瞬間消失了。」

更嚴重的問題

Thomas和Red Balloon的研究人員表示，他們迫切希望看到思科會發布希么類型的修復程序。他們擔心，如果不對思科的硬體anchor架構進行物理更改，可能無法完全消除這個漏洞。這可能需要在擁有加密比特流的未來幾代產品中實施FPGA。部署起來從財務上和計算資源上來說會比較艱巨，但不會容易受到這種攻擊。

而這項研究的意義並不僅限于思科。Thomas和他的Atredis聯合創始人Nathan Keltner強調，更大的影響可能是該研究提出的新概念，可能由此帶來操縱全球無數產品中FPGA比特流的新方法，包括高風險或敏感環境中的設備。

不過目前，Red Balloon的Cui只擔心全球所有易受此類攻擊的思科設備。思科告訴《連線》雜誌，它目前沒有計劃發布一個審計工具，以便客戶評估自己的設備是否已遭到攻擊；該公司表示，沒有證據表明外頭有人在採用這種攻擊手法。

但正如Cui指出的那樣，「對我們來說，數萬美元和三年的研究工作對我們來說投入很大。但是，如果一家有動機的企業擁有大量資金，派全職員工專註於這項工作，就可以極快地拿出對策。對它們來說這很值得，非常值得。」

思科對此次事件的聲明

思科始終堅持公開透明的原則。當出現安全問題時，我們會公開進行處理，並將其作為首要任務，以幫助我們的客戶第一時間了解所發生的問題及解決辦法。5月13日，思科發布了一份安全公告，指出在思科專有安全啟動功能的一個硬體組件上，存在邏輯處理訪問控制漏洞。思科產品安全突發事件響應團隊（PSIRT）尚未發現任何惡意使用這一漏洞的情況。隨後思科會發布針對此漏洞的修復程序。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！