PTT評價

[情報] 思科交換器爆有山寨品企業升級韌體故障

看板PC_Shopping標題[情報] 思科交換器爆有山寨品企業升級韌體故障作者
JKGOOD
(Dont QQ)
時間推噓21 推:21 噓:0 →:30

去年秋天,某家IT公司的思科網路交換器在升級軟體後故障,經查發現原因竟然是用到了仿冒品。

這家不知名的公司網路交換器故障後,找來F-Secure安全公司徹底檢查手上的思科網路交換器,結果安全廠商發現這二台所謂的Cisco Catalyst 2960-X Series交換器,根本就不是思科的產品,而是仿冒品,但是用了高超技巧企圖突破防止韌體篡改的開機程序。

研究人員說,山寨品實體架構和操作與思科正牌產品很像,兩台假貨用了不同方法來繞過開機軟體驗證。仿冒品A加入一組電路,利用SLIMpro ROM程式碼的一種罕見情況來繞過用於網路裝置加密和驗證的SLIMpro軟體驗證。F-Secure表示,目前已知SLIM ROM程式碼有一TOCTOU (time-of-check to time-of-use)漏洞,已經被用來繞過對SLIMpro處理單元的軟體簽章驗證。理論上,可能也會影響2960-X交換器真品(不過目前沒有報告證實此點)。

仿冒品B則是在仿冒品A的修改基礎之上,再以不知名的整合電路取代EEPROM。研究人員認為,B的例子顯示「廠商」為了製造這個仿冒品下了很大工夫設計、製造和測試上,不是花了鉅資來複製思科的原始設計,就是取得了思科的工程文件,而打造出足以亂真的假貨,這和一般低劣仿冒品很不一樣。

仿冒產品往往帶來可觀獲利,因此讓有心人鋌而走險。2019年4月思科曾在一天內查獲了價值62.7萬美元的仿冒品。

參考資訊:如何從外觀來辨別仿冒品?


F-Secure並未在這兩台裝置發現任何後門程式,但是認為從其設計來看卻很可議。F-Secure資深顧問Dimtry Janushevich指出,雖然在本例中並非如此,但這類仿冒品可以很容易修改,變成一個後門程式。本例中,仿冒者純粹出於經濟利益、騙人購買,但是它使用的手法則和入侵企業的駭客一模一樣。

安全廠商指出,一般仿冒品的價格比真品便宜許多,讓客戶以為自己撿到便宜,但是這麼做卻可能危及整個公司的安全風險。問題是,一般企業很難察覺,這次要不是交換器故障,這家公司可能也不知道。而且若非整台機器拆開並細究軟體,企業也無從判斷裝置哪裏被修改過。

為防買到假貨,安全廠商建議企業應原廠授權的零售商購買裝置,而且企業也要有採購內部流程和政策,並確保所有裝置都要升級到原廠最新的軟體。此外,企業也要了解,同一產品不同機型的外觀或多或少都會有點不同。

來源(有圖):
netmag.tw/2020/07/21/思科交換器驚爆有山寨品?!企業升級交換器韌體

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 110.30.103.31 (臺灣)
PTT 網址

MK47 07/25 14:52哇靠 用整合電路取代eeprom 山寨都這麼專業的嗎?

cayut 07/25 14:56yo叔 繞過去

zweihander9907/25 15:13yo叔又調皮了

maplefoxs 07/25 15:27想偷資料吧

ariadne 07/25 15:31不就華為的…

ggirls 07/25 16:11所以到底誰製造的?

MK47 07/25 16:14問採購啊 看他回扣收哪的

testPtt 07/25 16:51網通界的apple阿

b325019 07/25 16:51我家都直接找原廠支援的經銷商沒遇過這種問題

b325019 07/25 16:53現在思科影響力沒以前大了

Litfal 07/25 17:26用顆MCU串SPI偽裝成EEPROM,在指定的位址或時間點吐

Litfal 07/25 17:26一些假資料來挖洞,還算常見的破解法阿。只是的確要

Litfal 07/25 17:26花功夫。

yu76 07/25 18:44yo繞過去了

cpkjacky 07/25 19:03好像在看小說

getwild 07/25 19:43華為以前就是靠仿冒cisco起家

ariadne 07/25 19:44華為就是靠山寨思科路由器起家 硬體韌體都直接拷貝

ariadne 07/25 19:45客戶有問題直接丟思科網頁 連型號名稱都一樣 告上法

ariadne 07/25 19:46院就在米國禁售但是非米國本土就管不到 然後華為就

ariadne 07/25 19:46壯大起來 這也才多久前的事 現在小朋友都不知道?

pig 07/25 20:03華為仿冒思科然後便宜很多,以前某大神還力推咧

MrDisgrace 07/25 20:47幫裝機過一台出廠日期在半年以後的未來router = =

korsg 07/25 20:48採購表示:GAN 這下糗惹

GiantChicken07/25 21:17不就華為那套................

birdy590 07/25 21:17在國外也是混入網拍二手貨通路

birdy590 07/25 21:17基本上會從這種通路買設備的 很多沒有能力取得更新

birdy590 07/25 21:18有能力做出功能一樣的 ASIC 才是厲害 低階是自己開

doom3 07/25 22:34這高仿也太高 還裝山寨晶片

taieger 07/25 22:49真狂 連這個都有山寨

shistin 07/25 23:36華為山寨思科起家? 那為啥指令長的跟HPE有87%像啊

shistin 07/25 23:36

birdy590 07/25 23:49那是歷史了 因為跟抄論文一樣 連cisco的bug都一起

birdy590 07/25 23:49抄過去

birdy590 07/25 23:50指令要改反而小事 市場上一堆Cisco like

birdy590 07/25 23:51外表長的像反而不是抄的

mmonkeyboyy 07/26 00:49某大公司就是靠這招起家的 F-secure是在盧哦

mmonkeyboyy 07/26 00:50這明明就是採購不是智障就是自己賺差價

mmonkeyboyy 07/26 00:51騙人不懂 F-secure還虧是一代大師 (後來也跟360

mmonkeyboyy 07/26 00:52差沒多少了就是了

laechan 07/26 08:12之前好像有思科的新聞記者還問說為什麼選思科

ariadne 07/26 09:46長的跟HPE像是被告禁售之後的事了 人家也不是白痴

ariadne 07/26 09:46被告後會致敬另一家的參在一起 這很中國不是嗎? XD

ariadne 07/26 09:51之前在中國晶片不用仿 原廠會流出可以買 倉管很強

Shauter 07/26 12:06看手機板還會以為華為才是世界 XD

getwild 07/26 13:12華為當初被告到快滅掉整個公司,後來cisco迫於中共

getwild 07/26 13:12壓力,怕進不去中國市場,只能輕輕放過,華為也並

getwild 07/26 13:12不是之後就不偷技術,一直到孟被補時,還一直偷。

b325019 07/26 14:29H3C查一下,3com在被HP併購前跟華為合作過

birdy590 07/26 22:15不管怎麼合作 拿不到一樣的 ASIC 就不可能韌體直上

birdy590 07/26 22:18另外這消息其實去年就有了 型號一樣是 2960-X

birdy590 07/26 22:18其實是相對低階產品 但低階通常也代表需求量大