Поддельные коммутаторы Cisco могут стать угрозой информационной безопасности

 

Как правило, если речь идёт о «закладках», имеется в виду программная часть — от системной прошивки и BIOS до высокоуровневого ПО. Но программное обеспечение виновато не всегда. Возможность присутствия аппаратных «жучков» уже обсуждалась в прошлом году в связи с Supermicro. Теперь же обнаружены нелегальные версии некоторых сетевых коммутаторов Cisco Systems.

У оригинального коммутатора Cisco надписи сделаны бледно-серым (справа)

У оригинального коммутатора Cisco надписи сделаны бледно-серым (справа)

Само имя Cisco в представлениях не нуждается: это один из самых известных производителей и поставщиков сетевого оборудования. Вокруг Cisco даже сложился своеобразный культ среди ИТ-специалистов. Как выяснила F-Secure Consulting, этим могут пользоваться злоумышленники, предлагая «поддельные» устройства со знакомым логотипом. Речь идёт о коммутаторах Cisco Catalyst 2960-X. Эти устройства уже не новы и не блещут запредельными скоростями, но в ряде случаев их возможностей всё ещё достаточно.

Чипированный коммутатор, случай А

Чипированный коммутатор, случай А

Пока зафиксировано лишь два случая, в обоих речь идёт о модели WS-2960X-48TS-LV05, полученной якобы от проверенного поставщика, гарантирующего подлинность продукции. Выявить «нестандартность» коммутаторов удалось благодаря обновлению системного ПО, которое привело к их неработоспособности.

Внешне устройства мало чем отличались от оригинальных, хотя при пристальном изучении разницу и можно было заметить, как указано в отчете F-Secure. К счастью, никаких «бэкдоров» в конструкции поддельных коммутаторов найдено не было, однако вполне возможно, что это своеобразный «пробный шар» со стороны злоумышленников.

В этот раз программное обеспечение помогло выявить подделку

В этот раз программное обеспечение помогло выявить подделку

Внутри устройств обнаружились следы ремонта и модификации; в частности, очевидно, что чипы флеш-памяти, хранящие прошивку, были заменены. Это могло произойти и в рамках обычного ремонта, однако никаких официальных данных об этой процедуре найти не удалось.

Внутри одного из коммутаторов обнаружилась крошечная дополнительная платка, содержащая чип I2C EEPROM ёмкостью 512 Кбит. Она соединялась с основной системой посредством дополнительных проводов — примерно так же «чипируются» игровые консоли. Второе устройство также содержало дополнительный EEPROM, однако в этом случае дополнение было выполнено намного более профессионально.

Оригинал (справа) и подделка. Видны отличия в разводке и качестве шелкографии

Оригинал (справа) и подделка, случай B. Видны отличия в разводке и качестве шелкографии

После обновления ПО устройства отказались проходить аутентификацию, что и привело к их обнаружению. Разумеется, самой Cisco крайне не понравился сам факт появления на рынке такой продукции, поскольку он ставит под удар имя и репутацию компании, о чём она и заявила. Полный отчёт об исследовании поддельных коммутаторов Cisco можно скачать с сайта F-Secure, он содержит подробный разбор с массой технических деталей.

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER. | Можете написать лучше? Мы всегда рады новым авторам.

Источники:

Постоянный URL: https://servernews.ru/1015817
Поделиться:  

Комментарии

Система Orphus