Les commutateurs Cisco contrefaits déclenchent des alarmes de sécurité réseau
La contrefaçon ne touche pas que le monde du luxe ou de la pharmacie. F-Secure a détaillé les menaces de sécurité posées par les équipements réseau Cisco contrefaits.
Lors d'un événement déconcertant pour les professionnels de la sécurité informatique, des versions contrefaites des commutateurs Cisco Catalyst 2960-X ont été découvertes sur le réseau d'une entreprise, et les faux équipements ont été conçus pour contourner les procédures d'authentification propres à Cisco, selon un rapport de F-Secure. L'éditeur finlandais a déclaré que ses enquêteurs avaient découvert que, bien que les unités Cisco 2960-X contrefaites n'aient pas de fonctionnalités de type porte dérobée, elles ont utilisé diverses mesures pour tromper les contrôles de sécurité. Par exemple, l'une des unités a exploité ce que F-Secure estime être une vulnérabilité logicielle jusque-là inconnue pour saper les processus de démarrage sécurisé qui offrent une protection contre la falsification du micrologiciel.
« Les unités contrefaites comme celles-ci peuvent être facilement modifiées pour introduire des portes dérobées au sein d'une entreprise. Nous soulignons que ce n'est pas ce qui s'est produit dans ce cas, mais l'exécution de l'attaque serait en grande partie identique, c'est pourquoi nous pensons qu'il est important de remonter de tels problèmes », a déclaré Dmitry Janushkevich , consultant senior au sein de l'équipe sécurité matérielle de F-Secure Consulting et auteur principal du rapport. « Dans ce cas, la motivation est purement économique, car cela se fait uniquement pour vendre des unités contrefaites avec un maximum de profit. Cependant, les techniques et les opportunités sont identiques aux attaques visant à compromettre la sécurité des entreprises. » Pourtant, dans ce cas, les fonctions de sécurité ont été contournées, affaiblissant la posture de sécurité des équipements. Cela pourrait apporter aux attaquants, qui ont déjà obtenu l'exécution de code via une attaque basée sur le réseau, un moyen plus facile de gagner en persistance, et donc d'avoir un impact sur la sécurité de toute l'entreprise, a déclaré M. Janushkevich.
Mise à jour impossible
Cette histoire a démarré en 2019 lorsque l'entreprise anonyme a connu des pannes de commutateurs réseau après une mise à niveau logicielle - ce qui n'est pas rare dans un appareil contrefait, selon les experts. Bien que l'appareil ait perdu sa fonction principale de commutateur réseau lors de l'installation de la mise à niveau logicielle, il était toujours possible d'y accéder via la console, a rapporté F-Secure. Le rétablissement de la version du logiciel n'a pas résolu le problème, pointant probablement vers des preuves de l'écrasement des données pendant le processus de mise à jour, selon F-Secure.
« Les appareils contrefaits fonctionnent assez souvent sans problème pendant une longue période, ce qui rend leur détection difficile. Dans ce cas particulier, la défaillance matérielle a fait l'objet d'une enquête plus large par l'équipe F-Secure Hardware Security qui a été appelée et invitée à analyser la contrefaçon présumée des commutateurs de la gamme Cisco Catalyst 2960-X », a déclaré M. Janushkevich. Lors de la négociation d'un remplacement avec le fournisseur, l'entreprise a découvert qu'elle avait acheté sans le savoir des appareils contrefaits.
2 types de contrefaçons
Les contrefaçons étaient physiquement et fonctionnellement similaires aux commutateurs Cisco authentiques, a déclaré M. Janushkevich. L'une des conceptions du commutateur suggère que les contrefacteurs ont investi massivement dans la réplication de la conception originale de Cisco ou ont eu accès à une documentation technique exclusive pour les aider à créer une copie convaincante, a déclaré l'expert en sécurité. Selon le rapport F-Secure, les deux faux commutateurs ont utilisé différentes approches matérielles pour contourner l'authentification logicielle au démarrage. Par exemple, le commutateur « Counterfeit A» contenait des circuits complémentaires qui exploitaient une condition de concurrence critique dans le code ROM SLIMpro pour contourner la vérification du logiciel SLIMpro. Le code SLIMpro apporte le chiffrement et l'authentification pour les équipements réseau.
La conception du commutateur « Counterfeit B » a été modifiée pour intégrer la modification de Counterfeit A et a remplacé l'EEPROM complètement par un circuit intégré inconnu. Cela a signifié un investissement considérable en ressources dans la conception, la fabrication et les tests de ces produits contrefaits par rapport à l'approche ad hoc plus économique utilisée dans la contrefaçon A, a rapporté F-Secure. Quant à la vulnérabilité jusque-là inconnue, F-Secure a déclaré qu'un bogue Toctou ( time-of-check to time-of-use ) affectant le code ROM SLIMpro a été exploité dans la nature pour contourner les vérifications de signature logicielle contre l'unité de traitement sécurisée SLIMpro. Par extension, le problème affecte également les commutateurs d'origine de la série 2960-X. Alors qu'un rapport publié précédemment concernant des problèmes dans le processus de démarrage sécurisé de Cisco Catalyst était accessible, au moment de la rédaction de son article, aucune information publique n'était disponible détaillant ce problème ou des problèmes similaires affectant la gamme Catalyst 2960-X, a déclaré F-Secure.
Cisco main dans la main avec les douanes
De son côté, Cisco a pris connaissance du rapport F-Secure et a publié un communiqué : « Le maintien de l'intégrité et de la haute qualité des produits et services Cisco est une priorité absolue pour Cisco. Les produits contrefaits posent de graves risques pour la qualité, les performances, la sécurité et la fiabilité du réseau. Pour protéger nos clients, Cisco surveille activement le marché mondial de la contrefaçon et met en oeuvre une architecture de sécurité de la chaîne de valeur holistique et omniprésente comprenant divers contrôles de sécurité pour empêcher la contrefaçon. Cisco dispose également d'une équipe de protection des marques dédiée à la détection, à la dissuasion et au démantèlement des activités de contrefaçon. La lutte contre la contrefaçon généralisée et la protection des droits de propriété intellectuelle sont des défis de taille auxquels l'ensemble industrie technologique. »
En effet , il y a eu un certain nombre de démantèlements de faux équipements Cisco. En avril 2019, par exemple, l'équipe de protection des marques de Cisco a déclaré avoir travaillé avec les douanes et la protection des frontières américaines pour saisir 626 880 $ de produits contrefaits en une journée. Le Wall Street Journal a rapporté en décembre que l'équipementier avait obtenu une injonction contre un certain nombre de fabricants en Chine pour stopper la vente de produits réseau contrefaits. L'injonction obligeait également les marchés en ligne tels qu'Amazon, Alibaba et eBay à retirer les faux équipements de marque Cisco de leurs sites Web.
Le profit vient principalement du logiciel
Bien que la vente de matériel contrefait puisse être l'objectif de nombreux acteurs spécialisés, les logiciels représentent une autre cible rentable, selon les experts. La contrefaçon de la plate-forme matérielle ne serait pas vraiment lucrative, car le matériel lui-même ne représente qu'une petite partie du prix de vente. « La valeur principale réside dans le logiciel, qui est contrôlé par l'octroi de licences au numéro de série de chaque unité », a déclaré Neil Anderson, directeur de la pratique des solutions réseau pour l'intégrateur de systèmes World Wide Technology. La valeur réside dans le piratage qu'ils ont utilisé pour vaincre l'authentification des licences logicielles de Cisco, a-t-il expliqué. « Pour moi, cela revient à avoir une solide chaîne de possession entre le FEO - le distributeur - le partenaire intégrateur - le client », a déclaré Anderson. « Cela signifie que WWT achète toujours notre équipement Cisco directement auprès des distributeurs agréés avec le fournisseur dans la boucle pour toutes les commandes, et dans de nombreux cas, nous le déployons pour nos clients. »
F-Secure a inclus les conseils suivants pour aider les organisations à éviter de devenir la proie de dispositifs contrefaits :
- acheter tous les équipements auprès de revendeurs agréés
- appliquer des processus et des politiques internes clairs qui régissent les flux d'approvisionnement
- s'assurer que tous les appareils exécutent les dernières version de logiciels disponibles chez les fournisseurs, et notez les différences physiques entre les différentes unités d'un même produit, aussi subtiles soient-elles.