Switches Cisco falsos podem ser uma ameaça à segurança da informação

Como regra, quando se trata de “favoritos”, entendemos a parte do software – do firmware do sistema e BIOS ao software de alto nível. Mas nem sempre o software é o culpado. A possibilidade da presença de bugs de hardware já foi discutida no ano passado em conexão com a Supermicro. Agora, versões ilegais de alguns comutadores de rede da Cisco Systems foram descobertas.

As etiquetas originais do switch Cisco desbotaram cinza (à direita)

O próprio nome da Cisco não precisa de introdução: é um dos fabricantes e fornecedores mais famosos de equipamentos de rede. A Cisco desenvolveu um tipo de culto entre os profissionais de TI. Como a F-Secure Consulting descobriu, os invasores podem tirar proveito disso oferecendo dispositivos “falsos” com um logotipo familiar. Este é um switch Cisco Catalyst 2960-X. Esses dispositivos não são mais novos e não brilham a velocidades exorbitantes, mas, em alguns casos, seus recursos ainda são suficientes.

Caso A do Chip Switch

Até o momento, apenas dois casos foram registrados, nos dois estamos falando do modelo WS-2960X-48TS-LV05, obtido supostamente de um fornecedor confiável, garantindo a autenticidade dos produtos. Foi possível revelar “fora do padrão” dos comutadores, graças à atualização do software do sistema, o que levou à sua inoperabilidade.

Externamente, os dispositivos não diferiam muito dos originais, embora, após um exame mais detalhado, a diferença pudesse ser percebida, conforme indicado no relatório da F-Secure. Felizmente, não foram encontradas “backdoors” no design de switches falsos, mas é bem possível que seja uma espécie de “bola de teste” da parte dos atacantes.

Desta vez, o software ajudou a identificar um falso

Traços de reparos e modificações foram encontrados dentro dos dispositivos; em particular, é óbvio que os chips de memória flash que armazenam o firmware foram substituídos. Isso pode acontecer como parte de um reparo normal, mas nenhum dado oficial sobre esse procedimento foi encontrado.

Dentro de um dos comutadores, foi encontrado um pequeno cachecol adicional contendo um chip E2PR E2 de 512Kbit IE. Ele foi conectado ao sistema principal por meio de fios adicionais – os consoles de jogos foram “bloqueados” da mesma maneira. O segundo dispositivo também continha uma EEPROM adicional, no entanto, neste caso, a adição foi muito mais profissional.

O original (à direita) e o falso, caso B. Existem diferenças visíveis no layout e na qualidade da serigrafia

Após a atualização do software, os dispositivos se recusaram a se autenticar, o que levou à sua descoberta. Obviamente, a própria Cisco não gostou do fato de aparecerem no mercado, pois compromete o nome e a reputação da empresa, que anunciou. Um relatório completo sobre o estudo de switches Cisco falsos pode ser baixado do site da F-Secure, que contém uma análise detalhada com uma série de detalhes técnicos.