Falska Cisco-enheter gör företagsnätverk sårbara

Specialister på hårdvara hos cybersäkerhetsleverantören F-Secure har publicerat en rapport som beskriver en genomförd utredning av två förfalskade nätverksswitchar.

Falska Cisco-enheter gör företagsnätverk sårbara 1Utredningen, med slutsatsen att dessa förfalskningar utformats för att kringgå processer för riktighetskontroll av systemkomponenter, belyser de säkerhetsutmaningar som förekomsten av förfalskad hårdvara medför.

F-Secure Consultings säkerhetsteam undersökte två förfalskade switchar ur Cisco Catalyst 2960-X-serien. Förfalskningarna upptäcktes av ett IT-företag efter att en mjukvaruuppdatering gjorde att de slutade fungera, vilket är vanligt när ny mjukvara ska installeras på förfalskad eller modifierad hårdvara. På uppdrag av företaget utförde F-Secure Consulting en grundlig analys av de falska enheterna för att avgöra vilka säkerhetsimplikationer förfalskningarna medförde.

Experterna fann att förfalskningarna inte hade några bakdörrsliknande funktioner men att de däremot hade flera egenskaper som utformats för att komma runt säkerhetskontroller. Till exempel utnyttjade en av enheterna något som forskningsteamet tror är en tidigare oupptäckt sårbarhet för att sätta processer för säker uppstart ur spel – något som annars ger ett skydd mot manipulering av firmware.

”Vi upptäckte att förfalskningarna var byggda för att kringgå riktighetskontroller, men vi hittade inte bevis på att de falska enheterna medförde några andra risker för användarna”, säger Dmitry Janushkevich, seniorkonsult på F-Secure Consulting’s Hardware Security team, och huvudförfattare av rapporten. ”Förfalskarnas motiv var troligen begränsat till att tjäna pengar genom att sälja enheterna. Däremot ser vi att IT-kriminella använder samma sorts tillvägagångssätt för att i smyg öppna en bakdörr in till olika företag, det är alltså viktigt att noga undersöka förfalskad hårdvara när den upptäcks”.

Förfalskningarna var till utseende och funktion lika äkta Cisco-switchar. En av enheternas utformning visade att förfalskarna antingen lagt mycket tid på att replikera Ciscos originaldesign eller hade tillgång till proprietär teknisk information som hjälp för att skapa en övertygande kopia.

Enligt F-Secure Consultings Head of Hardware Security Andrea Barisani, står organisationer inför betydande säkerhetsutmaningar med att försöka begränsa de säkerhetsrisker som sofistikerade förfalskningar, likt de som analyserats i rapporten, medför.

”Säkerhetsavdelningar har inte råd att ignorera hårdvara som har manipulerats eller modifierats, vilket är varför de behöver undersöka alla förfalskningar som de har lurats att använda, förklarade Barisani. ”Utan att noggrant undersöka hårdvaran kan organisationer inte veta om den modifierade hårdvaran haft en omfattande påverkan på säkerheten. I vissa fall kan påverkan vara stor nog att helt och hållet ta bort säkerhetsåtgärder utformade för att skydda organisationers säkerhet, processer, infrastruktur, etc”.

F-Secure har följande råd till organisationer för att förhindra dem att använda falska enheter.

  •       Köp alla dina enheter från auktoriserade återförsäljare
  •       Ha tydliga interna processer och policys som styr upphandlingsprocesser
  •       Se till att alla enheter kör den senast tillgängliga mjukvaran som erbjuds av tillverkaren
  •       Lägg märke till fysiska skillnader mellan olika enheter av samma produkt, oavsett hur små de än må vara

”Vi är världsledande på att utforma och hitta svagheter i metoder för säker uppstart av system, vilka är avgörande för att skydda intellektuell egendom och för att säkerställa riktigheten i firmware och hårdvara. Vår detaljerade analys av detta fall belyser inte bara de utmaningar som finns för att kunna avgöra vilka säkerhetsimplikationer som förfalskningar har, men också hur vi kan hjälpa organisationer som upptäcker misstänkta enheter i sin infrastruktur, adderade Barisani.