吳明宜思科交換器驚爆有山寨品?!企業升級交換器韌體故障後才知買到仿冒品
去年秋天,某家 IT 公司的思科網路交換器在升級軟體後故障,經查發現原因竟然是用到了仿冒品。
這家不知名的公司網路交換器故障後,找來 F-Secure 安全公司徹底檢查手上的思科網路交換器,結果安全廠商發現這二台所謂的 Cisco Catalyst 2960-X Series 交換器,根本就不是思科的產品,而是仿冒品,但是用了高超技巧企圖突破防止韌體篡改的開機程序。
研究人員說,山寨品實體架構和操作與思科正牌產品很像,兩台假貨用了不同方法來繞過開機軟體驗證。仿冒品 A 加入一組電路,利用 SLIMpro ROM 程式碼的一種罕見情況來繞過用於網路裝置加密和驗證的 SLIMpro 軟體驗證。F-Secure 表示,目前已知 SLIM ROM 程式碼有一 TOCTOU (time-of-check to time-of-use) 漏洞,已經被用來繞過對 SLIMpro 處理單元的軟體簽章驗證。理論上,可能也會影響 2960-X 交換器真品(不過目前沒有報告證實此點)。
仿冒品 B 則是在仿冒品 A 的修改基礎之上,再以不知名的整合電路取代 EEPROM。研究人員認為,B 的例子顯示「廠商」為了製造這個仿冒品下了很大工夫設計、製造和測試上,不是花了鉅資來複製思科的原始設計,就是取得了思科的工程文件,而打造出足以亂真的假貨,這和一般低劣仿冒品很不一樣。
仿冒產品往往帶來可觀獲利,因此讓有心人鋌而走險。2019 年 4 月思科曾在一天內查獲了價值 62.7 萬美元的仿冒品。
參考資訊:如何從外觀來辨別仿冒品?
F-Secure 並未在這兩台裝置發現任何後門程式,但是認為從其設計來看卻很可議。F-Secure 資深顧問 Dimtry Janushevich 指出,雖然在本例中並非如此,但這類仿冒品可以很容易修改,變成一個後門程式。本例中,仿冒者純粹出於經濟利益、騙人購買,但是它使用的手法則和入侵企業的駭客一模一樣。
安全廠商指出,一般仿冒品的價格比真品便宜許多,讓客戶以為自己撿到便宜,但是這麼做卻可能危及整個公司的安全風險。問題是,一般企業很難察覺,這次要不是交換器故障,這家公司可能也不知道。而且若非整台機器拆開並細究軟體,企業也無從判斷裝置哪裏被修改過。
為防買到假貨,安全廠商建議企業應原廠授權的零售商購買裝置,而且企業也要有採購內部流程和政策,並確保所有裝置都要升級到原廠最新的軟體。此外,企業也要了解,同一產品不同機型的外觀或多或少都會有點不同。