La contrefaçon n’a pas seulement des conséquences sur le monde des produits de luxe ou des pharmacies. F-Secure a détaillé les menaces de sécurité des équipements réseau Cisco contrefaits.
Dans un événement époustouflant pour les professionnels de la sécurité informatique, des versions contrefaites des commutateurs Cisco Catalyst 2960-X ont été découvertes sur un réseau d’entreprise, et le faux équipement a été conçu pour contourner les procédures d’authentification appropriées à Cisco, selon un rapport de F-Secure. L’éditeur finlandais a déclaré que les chercheurs ont constaté que, bien que les unités Cisco 2960-X contrefaites n’aient pas de fonctionnalité de porte arrière, elles ont pris plusieurs mesures pour contourner les contrôles de sécurité. Par exemple, l’une des unités a exploité ce qui, selon F-Secure, est une vulnérabilité logicielle auparavant inconnue pour saper les processus de démarrage sécurisé qui protègent contre la falsification du micrologiciel.
«Les unités de contrefaçon comme celle-ci peuvent facilement être adaptées pour introduire des portes dérobées dans une entreprise. Nous soulignons que cela ne s’est pas produit dans ce cas, mais que l’exécution de l’attaque serait largement identique, nous pensons donc qu’il est important de signaler de tels problèmes « , a déclaré Dmitry Janushkevich , consultant senior au sein de l’équipe de sécurité matérielle de F-Secure Consulting et auteur principal du rapport. «Dans ce cas, la motivation est purement économique, car elle ne se fait que pour vendre des unités contrefaites avec un profit maximum. Cependant, les techniques et les opportunités sont les mêmes que les attaques visant à compromettre la sécurité des entreprises. Cependant, dans ce cas, les éléments de sécurité ont été contournés, affaiblissant l’attitude de sécurité de l’équipement. Cela pourrait fournir aux attaquants, qui ont déjà obtenu l’exécution de code par le biais d’une attaque réseau, un moyen plus facile de gagner en persistance et donc d’avoir un impact sur la sécurité de l’entreprise entière, a-t-il déclaré. Monsieur. Janushkevich.
Une mise à jour impossible
L’histoire a commencé en 2019 lorsque la société d’État a eu des difficultés à changer de réseau après une mise à niveau logicielle – ce qui n’est pas rare avec un appareil contrefait, selon les experts. Bien que l’appareil ait perdu sa fonction de commutation réseau principale lors de l’installation de la mise à niveau du logiciel, il était toujours possible d’y accéder via la console, a rapporté F-Secure. Le retour à la version logicielle n’a pas résolu le problème, indiquant peut-être des preuves de transfert de données pendant le processus de mise à jour, a déclaré F-Secure.
«Les appareils contrefaits fonctionnent souvent sans problème pendant longtemps, ce qui rend leur détection plus difficile. Dans ce cas particulier, la panne matérielle a fait l’objet d’une enquête plus large par l’équipe F-Secure Hardware Security, qui a été appelée et invitée à analyser la contrefaçon présumée des commutateurs de la gamme Cisco Catalyst 2960-X. Dit Janushkevich. Lors de la négociation d’un remplacement avec le fournisseur, l’entreprise a découvert qu’elle avait involontairement acheté des appareils contrefaits.
2 types de contrefaçons
Les contrefaçons étaient physiquement et fonctionnellement similaires aux commutateurs Cisco authentiques, a déclaré Janushkevich. L’une des conceptions de commutateurs suggère que les contrefacteurs ont investi massivement dans la réplication de la conception Cisco d’origine ou ont eu accès à une documentation technique propriétaire pour les aider à faire une copie convaincante, a déclaré l’expert en sécurité. Selon le rapport F-Secure, les deux faux commutateurs ont utilisé différentes approches matérielles pour contourner la vérification du démarrage du logiciel. Par exemple, le commutateur «Counterfeit A» comprenait des circuits complémentaires qui utilisaient une condition de concurrence dans le code ROM SLIMpro pour contourner la vérification du logiciel SLIMpro. Le code SLIMpro fournit le chiffrement et l’authentification des équipements réseau.
La conception du commutateur « Counterfeit B » a été modifiée pour inclure la modification de Counterfeit A et a complètement remplacé l’EEPROM par un circuit intégré inconnu. Cela signifiait un investissement important de ressources dans la conception, la fabrication et les tests de ces produits contrefaits par rapport à l’approche ad hoc plus économique utilisée dans la contrefaçon A, a rapporté F-Secure. Quant à la vulnérabilité précédemment inconnue, F-Secure a déclaré un bogue Toctou ( temps du contrôle au moment de l’utilisation ) affectant le code SLIMpro ROM a été exploitée dans la nature pour contourner les vérifications de dessin du logiciel avec l’unité de traitement sécurisée SLIMpro. Par extension, le problème concerne également les commutateurs d’origine de la série 2960-X. Alors qu’un rapport précédemment publié sur les problèmes de processus de démarrage sécurisé de Cisco Catalyst était disponible, aucune information publique n’était disponible au moment de la rédaction de ce document sur ces problèmes ou des problèmes similaires avec le Catalyst 2960 Series -X, a déclaré F-Secure.
Cisco main dans la main avec les douanes
Pour sa part, Cisco a lire le rapport F-Secure et publié un communiqué de presse: « Le maintien de l’intégrité et de la haute qualité des produits et services Cisco est une priorité absolue pour Cisco. Les produits contrefaits représentent un risque sérieux pour la qualité, les performances, la sécurité et la fiabilité du réseau Pour protéger nos clients, Cisco supervise activement le marché mondial de la contrefaçon et met en œuvre un architecture de sécurité chaîne de valeur holistique et omniprésent, y compris divers contrôles de sécurité pour empêcher la contrefaçon. Cisco dispose également d’une équipe de protection des marques dédiée à la détection, à la dissuasion et au démantèlement des activités de contrefaçon. La lutte contre la contrefaçon généralisée et la protection des droits de propriété intellectuelle sont des défis majeurs pour l’ensemble de l’industrie technologique. «
En effet, il y a eu un certain nombre de démantèlement de faux équipements Cisco. Par exemple, en avril 2019, l’équipe de protection de la marque Cisco a déclaré qu’elle travaillait avec les douanes et la protection des frontières américaines pour saisir 626 880 $ de contrefaçons en une journée. Le Wall Street Journal a rapporté en décembre que l’OEM avait été condamné à un certain nombre de fabricants en Chine pour cesser de vendre des produits de réseau contrefaits. L’interdiction a également contraint des marchés en ligne tels qu’Amazon, Alibaba et eBay à supprimer les faux équipements de marque Cisco de leurs sites Web.
Le profit provient principalement des logiciels
Bien que la vente de contrefaçons puisse être la cible de nombreux acteurs spécialisés, les experts estiment que les logiciels sont une autre cible rentable. La contrefaçon de la plate-forme matérielle ne serait pas très lucrative, car le matériel lui-même ne représente qu’une petite fraction du prix de détail. « La principale valeur réside dans le logiciel, qui est géré en accordant une licence sur le numéro de série de chaque unité », a déclaré Neil Anderson, directeur des solutions réseau pour l’intégrateur de système. Technologie globale. La valeur réside dans le piratage qu’ils ont utilisé pour battre l’authentification des licences logicielles Cisco, a-t-il déclaré. « Pour moi, cela signifie une chaîne de possession solide entre le FEO – le distributeur – le partenaire intégrateur – le client », a déclaré Anderson. «Cela signifie que WWT achète toujours nos équipements Cisco directement auprès de distributeurs agréés et que le fournisseur est informé de toutes les commandes, et dans de nombreux cas, nous les utilisons pour nos clients. «
F-Secure a inclus les conseils suivants pour aider les organisations à éviter d’être la proie d’appareils contrefaits: acheter tout l’équipement auprès de revendeurs agréés, appliquer des politiques et des processus internes clairs qui contrôlent les flux d’approvisionnement, s’assurer que tous les appareils exécutent les dernières versions logicielles disponibles auprès des fournisseurs, et notez les différences physiques entre les différentes unités d’un même produit, si subtiles qu’elles soient.