Cuando un IT La compañía le pidió a la compañía finlandesa de ciberseguridad F-Secure que analizara algunos de sus equipos el otoño pasado, el cliente no estaba preocupado por una nueva infección de malware o infracción reciente. En cambio, habían descubierto que algunos de sus principales dispositivos Cisco, los responsables de enrutar los datos enviados a través de su red interna, eran falsificaciones que pasaron desapercibidas en su infraestructura durante semanas.

Los dispositivos falsos de Cisco son relativamente comunes, en gran parte debido a la ubicuidad de la compañía. Cisco tiene un todo división de protección de marca comprometido a trabajar con la policía y proporciona herramientas que ayudan a los clientes Verificar La legitimidad de sus equipos. Aún así, los productos falsos de Cisco son omnipresentes y grandes empresas para los estafadores.

Sin embargo, el desmontaje detallado de las falsificaciones es una oportunidad especial para que los investigadores comprendan cómo pueden verse comprometidas por los ataques digitales. Las unidades F-Secure analizado Switches Cisco Catalyst 2960-X Series suplantados: dispositivos confiables que conectan computadoras en una red interna para enrutar datos entre ellas. En este caso, parece que las falsificaciones se hicieron solo con fines de lucro. Pero la posición de red privilegiada que ocupan podría haber sido explotada para poner una llamada puerta trasera para permitir a los atacantes robar datos o propagar malware.

«Es como tener un Rolex falso en estos días, a menos que realmente lo abras y veas el movimiento, es realmente difícil de decir», dijo Andrea Barisani, jefe de seguridad de hardware de F-Secure.

Cisco alienta a los clientes a comprar equipos de la propia empresa o de revendedores autorizados. En la práctica, sin embargo, las cadenas de compra pueden aumentar en el mercado abierto y los proveedores de equipos de red pueden falsificar involuntariamente.

Los falsos interruptores que los investigadores analizaron habían funcionado normalmente hasta que una actualización de software de rutina esencialmente los cerró, dando al cliente de F-Secure la impresión de que algo estaba mal. En su análisis, los investigadores de F-Secure encontraron sutiles diferencias cosméticas entre los dispositivos falsificados y un conmutador genuino de la serie Cisco 2960-X utilizado como referencia. Las etiquetas pequeñas, como los números al lado de los puertos Ethernet, estaban desalineadas, y los dispositivos falsos carecían de una etiqueta holográfica que Cisco colocó en las unidades reales. F-Secure señala que algunas falsificaciones tienen esta pegatina, pero los dispositivos que no lo son son ciertamente falsos.

«Los productos falsificados representan un grave riesgo para la calidad, el rendimiento, la seguridad y la confiabilidad de la red», dijo un portavoz de Cisco en un comunicado. «Para proteger a nuestros clientes, Cisco monitorea activamente el mercado global de falsificación e implementa una arquitectura holística y ubicua de seguridad de la cadena de valor que consiste en varias medidas de seguridad para evitar la falsificación».

El equipo de F-Secure descubrió algunas diferencias menores e indicaciones de alteración de las placas de circuito de los propios dispositivos, pero una diferencia particular se notó de inmediato. Uno de los dispositivos falsificados tenía un chip de memoria adicional muy claro en el tablero. Y después de más investigaciones, los investigadores se dieron cuenta de que la otra muestra que envió su cliente tenía una versión más sutil y refinada de ese cambio para lograr el mismo objetivo. Mediante el análisis forense digital, F-Secure descubrió que ambas versiones del hack explotaron una falla física en el diseño del conmutador para evitar las verificaciones de integridad de Cisco. El objetivo era omitir la función de «Arranque seguro» de Cisco, lo que haría que un dispositivo dejara de arrancar si estaba comprometido o no fuera genuino.

«Lo que sabemos es que la aplicación principal ha implementado un mecanismo de autenticación que puede detectar que el software se está ejecutando en hardware falsificado», dijo Dmitry Janushkevich, un asesor de seguridad de hardware de F-Secure que dirigió el estudio. «Probablemente los falsificadores no pudieron resolverlo o el método de autenticación fue lo suficientemente bueno como para no poder evitar, comprar o falsificar esa parte. De lo contrario, podrían producir un clon perfecto. Es por eso que eligieron la única opción que queda, que evita el Arranque seguro». «

La solución tampoco crea el clon perfecto, porque el software de Cisco que se ejecuta en los conmutadores (código de Cisco real pero ilegal) todavía tenía que «parchearse en la memoria» o manipularse después de que el dispositivo fue engañado para arrancar para hacer que todo sea compatible y pasar las verificaciones de integridad del software de Cisco. Técnicamente, esto significa que los cambios en el dispositivo no fueron «persistentes», ya que tuvieron que rehacerse cada vez que se reiniciaba el dispositivo, como si fuera la primera vez. En la práctica, sin embargo, las soluciones fueron exitosas, al menos hasta que Cisco introdujo una actualización que accidentalmente inutilizó las falsificaciones.



Source link