Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Mesačný prehľad za mesiac júl 2020
Tlačové správy
05.08.2020
Mesačná správa CSIRT.SK - Jún 2020
Tlačové správy
23.07.2020
Mesačná správa CSIRT.SK - Máj 2020
Tlačové správy
21.07.2020
Zahraničné zdroje
Nahlásené incidenty
1.1.2019 - 31.12.2019
 

Graf

Pozor na falošné zariadenia Cisco

16.07.2020
Spoločnosť F-Secure vydala varovanie, v ktorom upozorňuje na výskyt falošných zariadení značky Cisco na trhu. Zariadenia sú na prvý pohľad nerozpoznateľné od pravých a sú balené v originálnych baleniach.

 

Problém odhalila nemenovaná spoločnosť, ktorá na jeseň 2019 zistila, že po aktualizácii firmvéru zlyhali niektoré prepínače (switch-e) Cisco v jej vlastníctve. Falošné zariadenia patrili do série Cisco Catalyst 2960-X. V štúdii spoločnosti F-Secure, ktorá problém vyšetrovala, neboli vo falošných zariadeniach nájdené implementované zadné vrátka, no boli v nich obídené niektoré bezpečnostné funkcie. Štúdia sa zaoberá dvomi verziami napodobenín zariadení Cisco WS-2960X-48TS-L, v ktorých falšovatelia pristúpili odlišným spôsobom ku riešeniu obídenia autentifikácie platformy.

Originálny text môžete nájsť tu  Súbor PDF  PDF (2,09 MB), alebo na stránke spoločnosti F-Secure.

Skúmané zariadenia a verzie softvéru:

  • Cisco WS-2960X-48TS-L V05 ORIGINAL c2960x-universalk9-mz.152-2.E7
  • Cisco WS-2960X-48TS-L V01 falošne zariadenie A c2960x-universalk9-mz.150-2.EX5
  • Cisco WS-2960X-48TS-L V01 falošne zariadenie B c2960x-universalk9-mz.152-4.E7

 

Symptómy

 

Softvérové odlišnosti:
Hlavným indikátorom falošného zariadenie je, že po softvérovej aktualizácii prestane fungovať. Zariadenie prestane fungovať ako prepínač (switch), no cez konzolu je stále prístupne a počas štartovania vypisuje nasledujúce hlásenie:

Cisco authentication fail

Zaujímavým faktom tiež je, že aj keď zariadenie prestane fungovať, pri štarte prebehne úspešná verifikácia digitálneho podpisu:

Passed signature verification

Externé odlišnosti:
Balenie aj zariadenie vyzerá veľmi autenticky a je veľmi podobné s originálom. Má však zopár malých odlišností:

  1. Čísla portov na falošnom zariadení (vľavo) sú žiarivo biele, zatiaľ čo na origináli (vpravo) sú sivé. Trojuholníkové indikátory majú odlišný tvar.
    Fake Cisco  Original Cisco
  2. Tlačidlo MODE má jemne odlišný tvar. Štvorček pri MGMT porte pod tlačidlom MODE je na falošnom zariadení (vľavo) zelenkavý. Na origináli (vpravo) je štvorček žiarivo žltý.
    Fake Cisco  Original Cisco

Interné odlišnosti (analýza základnej dosky):

  1. Absencia holografickej nálepky na falošnom zariadení
    Cisco hololabel
  2. Falošná doska (vľavo) obsahuje na pohlaď viac komponentov ako originál (vpravo). Existuje však viacero falošných verzií.

    Fake Cisco      Original Cisco
     
  3. Na doske sú zo spodnej strany pridané komponenty

    Cisco hololabel
  4. Odstránené sériové čísla z komponentov na pozícii U55 a U10006 na falošných zariadeniach (vľavo)

    Cisco hololabel

    Fake Cisco  Original Cisco


<< zoznam aktualít