思科假冒产品的剖析显示出其潜在危险
1255字
2020-07-22 11:41
92阅读
火星译客

去年秋天,当一家IT公司要求芬兰网络安全公司F-Secure分析其部分设备时,客户并不担心新的恶意软件感染或最近的侵入。相反,它发现自己的一些核心思科设备——负责在内部网络中传输数据的设备——是几周以来一直潜伏在其基础设施中而未被发现的假冒品。

假冒的思科设备相对普遍,这主要是因为这公司无处不在。思科有一个完整的品牌保护部门,致力于与执法部门合作,并提供工具,帮助客户验证其设备的合法性。尽管如此,假冒的思科产品仍然无处不在,对于骗子来说这是一笔大生意

尽管如此,伪造品的详细拆解对于研究人员来说是一个特殊的机会,可以让他们了解它们是如何受到数字攻击的。F-Secure所分析的设备是思科Catalyst 2960-X系列交换机,连接内部网络上的计算机并在它们之间路由数据的可信设备。在这种情况下,假货似乎只是为了盈利而制造的。但他们拥有的特权网络地位可能被利用来放置所谓的后门,让攻击者窃取数据或传播恶意软件。

F-Secure的硬件安全主管安德里亚•巴里萨尼(Andrea Barisani)表示:“这就像如今你拥有一块假劳力士(Rolex)手表一样——除非你真的打开它,看看它的移动情况,否则真的很难分辨。”

思科鼓励客户从公司或授权经销商处购买设备。然而,在实际上,采购链在公开市场上会膨胀,网络设备供应商可能会在不经意间以仿冒品告终。

研究人员分析的假开关一直正常工作,直到一个例行的软件升级,实质上破解了它们,向F-Secure客户泄露了一些问题。在他们的分析中,F-Secure的研究人员发现了假冒设备和用于参考的真正的思科2960-X系列开关之间细微的外观差异。像以太网端口旁边的数字这样的小标签没有对齐,而且假冒设备缺少了思科贴在真设备上的全息标签。F-Secure指出,一些假冒品有这个标签,但没有的设备几乎肯定是假货。

思科发言人在一份声明中表示:“假冒产品对网络质量、性能、安全和可靠性构成严重威胁。”“为了保护我们的客户,思科积极监控全球假冒市场,并实施一个全面而普及的价值链安全体系结构,包括各种安全控制,以防止假冒。。”

F-Secure团队发现了一些小的差异,以及设备的电路板被篡改的迹象,但有一个特别的分歧立即凸显出来。其中一个假冒设备有一个非常明显的额外内存芯片在主板上。经过更多的调查,研究人员意识到他们的客户发送的另一个假冒样品有一个更微妙和复杂的版本的修改,以达到同样的目的。通过数字取证分析,F-Secure发现两个版本的黑客都利用了交换机设计中的一个物理缺陷,绕过了思科的完整性检查。这样做的目的是绕过思科的安全引导功能,该功能可以阻止设备在被入侵或不合法的情况下启动。

F-Secure的高级硬件安全顾问、这项研究的负责人德米特里·亚努什克维奇(Dmitry Janushkevich)表示:“我们所知道的是,主应用程序中安装了一种认证机制,能够检测出软件运行在假冒的硬件上。”“很有可能,造假者要么没有弄清楚,要么认证方法足够好,所以他们无法绕过、购买或伪造那个部分。”否则他们就能制造出一个完美的克隆。因此,他们选择了唯一的选择,那就是绕过安全引导。””

这种解决办法也不能创造出完美的克隆,因为在交换机上运行的思科软件(确实是盗版的思科代码)仍然需要“在内存中补丁”,或者在设备启动时进行操作,以使一切兼容并通过思科的软件完整性检查。从技术上讲,这意味着对设备的更改不是“持久的”,因为它们需要在每次重新启动设备时再次运行,就像第一次一样。然而,在实践中,这些变通方法是成功的——至少直到思科推出了一个更新,无意中使仿冒品无法使用。

然而,除了这些恶作剧之外,研究人员没有发现任何证据表明这些假货是被设计用来监视开关或为攻击者打开后门的。这对F-Secure的客户来说是个好消息,但研究人员警告说,这些假冒设备是攻击的完美蓝图。

巴里萨尼(Barisani)说:“在这样的设备上真正恶意植入的影响是巨大的,因为攻击者基本上控制了网络。”“最后,我们非常有信心,我们找到了这些设备中发生的一切,尽管我们从来没有说在安全领域中是100%的。然而,当有人想要制造恶意设备时,这些相同的技术可以使用或被使用。你经常看到人们将供应链攻击理论化,这可能是供应链攻击的一种形式。”

研究人员向思科通报了假冒品所依赖的硬件漏洞。公司表示,它正在“优先调查研究人员的发现”,并将通知客户任何相关结论。攻击者需要物理设备访问才能利用该漏洞,因为这是一个硬件问题,但研究人员指出,这不仅仅是假冒设备的问题。该漏洞存在于思科的正版硬件中,它也可能被用来破坏真实产品中的安全引导等保护措施。由于这是一个硬件缺陷,思科不太可能在已经生产和部署的设备上修复它。

资深思科安全研究员崔昂是嵌入式设备安全公司红气球的首席执行官,他说,F-Secure的研究是对假冒设备威胁的一个重要提醒。不过他指出,公司分析的假冒交换机是低端交换机,在企业网络设备的背景下,它们的成本并不高——在目前的市场上,每台大约600美元。考虑到这种产品的利润率对思科来说相当低,更别提伪造者了,崔说他很惊讶没有发生更恶劣的事情。

“这很有意思,因为这个开关非常便宜,只是一个普通的机器,没有什么特别的,”崔说。“我认为,任何有商业头脑的人都不会把这款设备与思科的其他设备进行对比。但是对攻击者来说,破坏交换机的好处是它可以直接连接到网络上的计算机。因此,如果人们不怕麻烦去伪造这些东西,我认为他们会在硬件上恶意植入,而硬件是所有数据流动的交换结构。”

作为其工作的一部分,F-Secure试图帮助其客户追踪假货的来源,但其采购历史是模糊的。这就是为什么盗版设备可以用于供应链攻击。攻击者不需要破坏思科或其他公司的运营,而只需摧毁最后一个环节:分销。

0 条评论
评论不能为空