去年秋天,某家IT公司的思科网络交换器在升级软件后故障,经查发现原因竟然是用到了
仿冒品。
这家不知名的公司网络交换器故障后,找来F-Secure安全公司彻底检查手上的思科网络交
换器,结果安全厂商发现这二台所谓的Cisco Catalyst 2960-X Series交换器,根本就不
是思科的产品,而是仿冒品,但是用了高超技巧企图突破防止韧体篡改的开机程序。
研究人员说,山寨品实体架构和操作与思科正牌产品很像,两台假货用了不同方法来绕过
开机软件验证。仿冒品A加入一组电路,利用SLIMpro ROM程式码的一种罕见情况来绕过用
于网络装置加密和验证的SLIMpro软件验证。F-Secure表示,目前已知SLIM ROM程式码有
一TOCTOU (time-of-check to time-of-use)漏洞,已经被用来绕过对SLIMpro处理单元的
软件签章验证。理论上,可能也会影响2960-X交换器真品(不过目前没有报告证实此点)
。
仿冒品B则是在仿冒品A的修改基础之上,再以不知名的整合电路取代EEPROM。研究人员认
为,B的例子显示“厂商”为了制造这个仿冒品下了很大工夫设计、制造和测试上,不是
花了钜资来复制思科的原始设计,就是取得了思科的工程文件,而打造出足以乱真的假货
,这和一般低劣仿冒品很不一样。
仿冒产品往往带来可观获利,因此让有心人铤而走险。2019年4月思科曾在一天内查获了
价值62.7万美元的仿冒品。
参考资讯:如何从外观来辨别仿冒品?
F-Secure并未在这两台装置发现任何后门程式,但是认为从其设计来看却很可议。F-Secu
re资深顾问Dimtry Janushevich指出,虽然在本例中并非如此,但这类仿冒品可以很容易
修改,变成一个后门程式。本例中,仿冒者纯粹出于经济利益、骗人购买,但是它使用的
手法则和入侵企业的骇客一模一样。
安全厂商指出,一般仿冒品的价格比真品便宜许多,让客户以为自己捡到便宜,但是这么
做却可能危及整个公司的安全风险。问题是,一般企业很难察觉,这次要不是交换器故障
,这家公司可能也不知道。而且若非整台机器拆开并细究软件,企业也无从判断装置哪里
被修改过。
为防买到假货,安全厂商建议企业应原厂授权的零售商购买装置,而且企业也要有采购内
部流程和政策,并确保所有装置都要升级到原厂最新的软件。此外,企业也要了解,同一
产品不同机型的外观或多或少都会有点不同。
来源(有图):
netmag.tw/2020/07/21/思科交换器惊爆有山寨品?!企业升级交换器韧体