Высококлассное сетевое оборудование Cisco пользуется на рынке заслуженной репутацией и зачастую стоит немалых денег. Неудивительно, что охочие до наживы умельцы пытаются подделывать аппаратуру Cisco. С таким контрафактом недавно столкнулись специалисты компании F-Secure, работающие в сфере информационной безопасности (ИБ).
Осенью 2019 года в F-Secure обратилась ИТ-фирма (какая именно - не раскрывается), у которой два коммутатора Cisco Catalyst 2960-X перестали работать после программного обновления. Последующее расследование F-Secure показало, что вышедшее из строя оборудование было поддельным.
Хотя в коммутаторах не оказалось вредоносных закладок, специалисты обнаружили элементы, помогающие обмануть систему проверки аутентификации, используемую в Cisco. В частности, была выявлена ранее незадокументированная уязвимость, позволяющая контрафактному оборудованию обходить процедуру Secure Boot, которая предназначена для защиты прошивки от взлома.
"Мы обнаружили, что в подделках предусмотрен обход мер аутентификации, но не нашли в них каких-то других рисков. Скорее всего, контрафактчиками двигало просто желание заработать на продаже оборудования. Однако устраивающие атаки злоумышленники таким же способом внедряют в сети компаний скрытые бэкдоры. Поэтому очень важно тщательно проверять любое модифицированное оборудование", - заявил Дмитрий Янушкевич, старший консультант отдела аппаратной безопасности F-Secure и один из авторов отчета о контрафактных коммутаторах Cisco. Его цитирует издание BetaNews.
Специалисты отмечают, что поддельные коммутаторы по своим физическим и эксплуатационным параметрам были идентичны подлинным коммутаторам Cisco. Судя по конструкции устройств, контрафактчики либо вложили немалые средства в то, чтобы воспроизвести оригинальный дизайн Cisco, либо имели доступ к проприетарной инженерной документации компании, которая и помогла им создать столь убедительные копии.
Специалисты F-Secure рекомендует компаниям позаботиться о своей безопасности и закупать оборудование только у авторизованных торговых представителей, составить четкие внутренние правила, регулирующие процессы закупок, следить за тем, чтобы на всей аппаратуре было установлено только самое свежее ПО, предоставляемое поставщиками, а также обращать внимание на любые физические отличия между устройствами одной и той же продуктовой линейки, какими бы незначительными они ни казались.
С полной версией отчета F-Secure по расследованию о контрафакте Cisco можно ознакомиться на сайте ИБ-компании. В 38-страничном pdf-документе приводится сопоставительный анализ поддельных и подлинных коммутаторов, с разъяснениями и фотографиями.
Судя по публикации на портале Хабр, с контрафактными коммутаторами серии Catalyst 2960-X знакомы и в России. Если кому-то из аудитории Nag.Ru довелось столкнуться с подобным, просим рассказать об этом другим читателям в комментариях.
В очередной раз, достал из мусорки битый Cisco Catalyst 2960-X, куплен в 2018 году и отработавший всего год. В раздумьях как бы его отремонтировать недорого, т.к. официальной техподдержки - нет и не было.
И тут нарвался на эту статью. Сильно опечалился - по всем признакам описанным ф-секуре, тогда всучили подделку. Хотя вскрывал, но не догадался снять плату целиком.
А вот он термоклей на чипе и "жучок" на отдельной плате.
И статью на хабре 2016 видел https://habr.com/ru/post/281631/
зря смеялись, коммутатор примерно так и вёл себя на издыхании.