云安全日报200805：思科厂商发现BootHole漏洞,需要尽快升级

思科(Cisco)于8月4日晚，针对先前广为人知的BootHole漏洞发布了安全公告。思科表示，目前而言，特定产品漏洞暂未有可用的解决办法，但是思科正在调查其产品线，以确定哪些产品和云服务可能受此漏洞影响。随着调查的进行，思科将使用有关受影响的产品和服务的信息更新此通报。

BootHole漏洞

这里，我们先回顾下BootHole漏洞。7月29日，安全研究员在GRUB2引导加载程序中发现了一个名为BootHole的严重漏洞（代号CVE-2020-10713）。该漏洞是由于从GRUB2配置文件解析的某些值的边界检查不正确造成的。攻击者可以通过为GRUB2提供精心制作的配置文件来利用此漏洞。处理此文件时，可能会发生可利用的缓冲区溢出情况。成功的利用可能允许攻击者注入在操作系统加载到目标系统上之前执行的任意代码。在受统一可扩展固件接口（UEFI）安全启动功能保护的系统上，利用此漏洞可能使攻击者篡改安全启动过程。

BootHole漏洞影响数百万Windows和Linux系统 。该漏洞的规模如此之大，大多数笔记本电脑、台式机、服务器和工作站，以及用于工业、医疗保健、金融和其他行业的网络设备和其他特殊用途设备都受到了影响。当然，思科也毫无例外，在此影响之列。以下是漏洞详情：

漏洞详情

此漏洞影响集成有漏洞的GRUB2引导程序版本的Cisco设备。引导加载程序是在系统启动过程中执行的软件。它由系统固件初始化，并执行加载操作系统所需的初始化。GRUB2从文本文件读取其配置参数。受影响的GRUB2版本对从配置文件中解析出的特定值执行不正确的边界检查。

修改此配置文件的攻击者（通过拥有对设备的管理特权或对目标系统的物理访问权限）可以通过为GRUB2提供精心设计的配置文件来利用此漏洞。攻击者可以利用此漏洞在受影响的系统的预引导环境中实现任意代码执行。

目前已知的受影响产品如下:

1.思科云服务路由器1000V系列

2.思科集成多业务虚拟路由器（ISRv）

3.思科身份服务引擎（ISE）

不受影响的产品：

1.网络和内容安全设备

2.思科Firepower管理系统

3.路由和交换-企业和服务提供商

4.思科1000系列互联网格路由器

5.思科IR800系列集成多业务路由器（ISR）

正在调查的产品：

思科正在积极调查思科企业NFV基础架构软件（NFVIS），以确定它们是否受本通报中描述的漏洞影响。如果思科产品实施GRUB2引导加载程序的易受攻击的版本并且不验证GRUB2配置文件，则此漏洞会影响Cisco产品。

解决方案：

1.上述特定Cisco产品或服务的任何变通办法将记录在相关的Cisco Bug中，目前暂未有解决办法，建议客户随时关注Cisco官网安全公告。

2.在考虑软件升级时，建议客户定期查阅Cisco产品的咨询（可从Cisco Security Advisories页面获得），以确定暴露程度和完整的升级解决方案。在所有情况下，客户都应确保要升级的设备包含足够的内存，并确认新版本将继续正确支持当前的硬件和软件配置。如果信息不清楚，建议客户联系思科技术支持中心（TAC）或他们的合同维护提供商。

文章来源：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-grub2-code-exec-xLePCAPY#vp