[情報] 思科交換器爆有山寨品企業升級韌體故障

作者JKGOOD (Dont QQ)

看板PC_Shopping

標題[情報] 思科交換器爆有山寨品企業升級韌體故障

時間Sat Jul 25 14:51:02 2020

去年秋天，某家IT公司的思科網路交換器在升級軟體後故障，經查發現原因竟然是用到了仿冒品。這家不知名的公司網路交換器故障後，找來F-Secure安全公司徹底檢查手上的思科網路交換器，結果安全廠商發現這二台所謂的Cisco Catalyst 2960-X Series交換器，根本就不是思科的產品，而是仿冒品，但是用了高超技巧企圖突破防止韌體篡改的開機程序。研究人員說，山寨品實體架構和操作與思科正牌產品很像，兩台假貨用了不同方法來繞過開機軟體驗證。仿冒品A加入一組電路，利用SLIMpro ROM程式碼的一種罕見情況來繞過用於網路裝置加密和驗證的SLIMpro軟體驗證。F-Secure表示，目前已知SLIM ROM程式碼有一TOCTOU (time-of-check to time-of-use)漏洞，已經被用來繞過對SLIMpro處理單元的軟體簽章驗證。理論上，可能也會影響2960-X交換器真品（不過目前沒有報告證實此點）。仿冒品B則是在仿冒品A的修改基礎之上，再以不知名的整合電路取代EEPROM。研究人員認為，B的例子顯示「廠商」為了製造這個仿冒品下了很大工夫設計、製造和測試上，不是花了鉅資來複製思科的原始設計，就是取得了思科的工程文件，而打造出足以亂真的假貨，這和一般低劣仿冒品很不一樣。仿冒產品往往帶來可觀獲利，因此讓有心人鋌而走險。2019年4月思科曾在一天內查獲了價值62.7萬美元的仿冒品。參考資訊：如何從外觀來辨別仿冒品？ F-Secure並未在這兩台裝置發現任何後門程式，但是認為從其設計來看卻很可議。F-Secu re資深顧問Dimtry Janushevich指出，雖然在本例中並非如此，但這類仿冒品可以很容易修改，變成一個後門程式。本例中，仿冒者純粹出於經濟利益、騙人購買，但是它使用的手法則和入侵企業的駭客一模一樣。安全廠商指出，一般仿冒品的價格比真品便宜許多，讓客戶以為自己撿到便宜，但是這麼做卻可能危及整個公司的安全風險。問題是，一般企業很難察覺，這次要不是交換器故障，這家公司可能也不知道。而且若非整台機器拆開並細究軟體，企業也無從判斷裝置哪裏被修改過。為防買到假貨，安全廠商建議企業應原廠授權的零售商購買裝置，而且企業也要有採購內部流程和政策，並確保所有裝置都要升級到原廠最新的軟體。此外，企業也要了解，同一產品不同機型的外觀或多或少都會有點不同。來源(有圖)： netmag.tw/2020/07/21/思科交換器驚爆有山寨品？！企業升級交換器韌體 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 110.30.103.31 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1595659865.A.9A5.html

→ MK47 : 哇靠用整合電路取代eeprom 山寨都這麼專業的嗎？ 07/25 14:52

推 cayut : yo叔繞過去 07/25 14:56

推 zweihander99: yo叔又調皮了 07/25 15:13

推 maplefoxs : 想偷資料吧 07/25 15:27

推 ariadne : 不就華為的… 07/25 15:31

推 ggirls : 所以到底誰製造的？ 07/25 16:11

→ MK47 : 問採購啊看他回扣收哪的 07/25 16:14

→ testPtt : 網通界的apple阿 07/25 16:51

推 b325019 : 我家都直接找原廠支援的經銷商沒遇過這種問題 07/25 16:51

→ b325019 : 現在思科影響力沒以前大了 07/25 16:53

推 Litfal : 用顆MCU串SPI偽裝成EEPROM，在指定的位址或時間點吐 07/25 17:26

→ Litfal : 一些假資料來挖洞，還算常見的破解法阿。只是的確要 07/25 17:26

→ Litfal : 花功夫。 07/25 17:26

推 yu76 : yo繞過去了 07/25 18:44

推 cpkjacky : 好像在看小說 07/25 19:03

推 getwild : 華為以前就是靠仿冒cisco起家 07/25 19:43

推 ariadne : 華為就是靠山寨思科路由器起家硬體韌體都直接拷貝 07/25 19:44

→ ariadne : 客戶有問題直接丟思科網頁連型號名稱都一樣告上法 07/25 19:45

→ ariadne : 院就在米國禁售但是非米國本土就管不到然後華為就 07/25 19:46

→ ariadne : 壯大起來這也才多久前的事現在小朋友都不知道？ 07/25 19:46

→ pig : 華為仿冒思科然後便宜很多，以前某大神還力推咧 07/25 20:03

推 MrDisgrace : 幫裝機過一台出廠日期在半年以後的未來router = = 07/25 20:47

推 korsg : 採購表示:GAN 這下糗惹 07/25 20:48

→ GiantChicken: 不就華為那套................ 07/25 21:17

推 birdy590 : 在國外也是混入網拍二手貨通路 07/25 21:17

→ birdy590 : 基本上會從這種通路買設備的很多沒有能力取得更新 07/25 21:17

→ birdy590 : 有能力做出功能一樣的 ASIC 才是厲害低階是自己開 07/25 21:18

→ doom3 : 這高仿也太高還裝山寨晶片 07/25 22:34

→ taieger : 真狂連這個都有山寨 07/25 22:49

推 shistin : 華為山寨思科起家？那為啥指令長的跟HPE有87%像啊 07/25 23:36

→ shistin : ？ 07/25 23:36

推 birdy590 : 那是歷史了因為跟抄論文一樣連cisco的bug都一起 07/25 23:49

→ birdy590 : 抄過去 07/25 23:49

→ birdy590 : 指令要改反而小事市場上一堆Cisco like 07/25 23:50

→ birdy590 : 外表長的像反而不是抄的 07/25 23:51

推 mmonkeyboyy : 某大公司就是靠這招起家的 F-secure是在盧哦 07/26 00:49

→ mmonkeyboyy : 這明明就是採購不是智障就是自己賺差價 07/26 00:50

→ mmonkeyboyy : 騙人不懂 F-secure還虧是一代大師 (後來也跟360 07/26 00:51

→ mmonkeyboyy : 差沒多少了就是了 07/26 00:52

→ laechan : 之前好像有思科的新聞記者還問說為什麼選思科 07/26 08:12

推 ariadne : 長的跟HPE像是被告禁售之後的事了人家也不是白痴 07/26 09:46

→ ariadne : 被告後會致敬另一家的參在一起這很中國不是嗎？ XD 07/26 09:46

推 ariadne : 之前在中國晶片不用仿原廠會流出可以買倉管很強 07/26 09:51

推 Shauter : 看手機板還會以為華為才是世界 XD 07/26 12:06

→ getwild : 華為當初被告到快滅掉整個公司，後來cisco迫於中共 07/26 13:12

→ getwild : 壓力，怕進不去中國市場，只能輕輕放過，華為也並 07/26 13:12

→ getwild : 不是之後就不偷技術，一直到孟被補時，還一直偷。 07/26 13:12

推 b325019 : H3C查一下，3com在被HP併購前跟華為合作過 07/26 14:29

→ birdy590 : 不管怎麼合作拿不到一樣的 ASIC 就不可能韌體直上 07/26 22:15

→ birdy590 : 另外這消息其實去年就有了型號一樣是 2960-X 07/26 22:18

→ birdy590 : 其實是相對低階產品但低階通常也代表需求量大 07/26 22:18