Localizan varios switches de Cisco falsificados en la red de una empresa

Según un informe de la compañía de ciberseguridad de F-Secure, se han descubierto varias falsificaciones de switches de Cisco en la red de una empresa de la que no ha trascendido el nombre. Estas falsificaciones, en concreto de modelos de switches de la serie Catalyst 2960-X de Cisco estaban diseñadas para que un ciberatacante con conocimiento de la falsificación pudiese saltarse los procedimientos habituales de autenticación.

Los investigadores de la compañía descubrieron que estos switches falsos no tenían funciones similares a las de un backdoor para facilitar que quien lo desease pudiese saltárselos. En vez de esto utilizaban otras medidas diversas para engañar a los controles de seguridad.

Dmitry Janushkevich, Consultor del equipo de seguridad hardware de F-Secure Consulting, la división de consultoría de la empresa, recuerda que «las unidades falsas como estas se pueden modificar con facilidad para insertar backdoors en una organización. Recalcamos que esto no es lo que ha sucedido en esta ocasión, pero la ejecución de un ataque sería prácticamente idéntica, por lo que pensamos que es importante señalar esto. En este caso la motivación es puramente económica, ya que se hace para vender unidades falsas para conseguir beneficios. No obstante, las técnicas y oportunidades son idénticas a los ataques que tienen como fin comprometer la seguridad de las organizaciones«.

En el caso que han identificado desde F-Secure, se saltaron las funciones de seguridad, debilitando la protección del equipo. Esto, según Janushkevich, podría dar a los atacantes que ya han conseguido acceso a la ejecución de código a través de un ataque en red, por ejemplo, una vía sencilla para impactar en la seguridad de una organización.

La investigación sobre lo que rodea a la empresa que instaló estos dispositivos comenzó en 2019, cuando esta compañía vio cómo fallaban algunos switches de red después de una actualización de software, algo bastante frecuente en el caso de los dispositivos falsos. El problema no se solucionó revirtiendo el software a la versión anterior, lo que apuntaba a evidencia de que había datos que se habían sobreescrito durante el proceso de actualización.

Esto tampoco es extraño, ya que los dispositivos falsos «funcionan con bastante frecuencia bien durante un tiempo, lo que dificulta su detección. En este caso concreto, el fallo de hardware fue el punto de partida para una investigación más amplia, en la que participó el equipo de Seguridad hardware de F-Secure, al que se le pidió que analizase los switches Cisco Catalyst 2960-X series sospechosos de falsificación«. Esto se hizo porque mientras negociaba el cambio de los switches con Cisco, la empresa descubrió que había comprado dos dispositivos falsificados sin saberlo.

Estas falsificaciones eran, tanto en aspecto como en funcionamiento, muy parecidas a los switches auténticos de Cisco, lo que implica que los falsificadores habían invertido mucho tiempo y dinero en reproducir el diseño original de Cisco. También puede ser que los falsificadores tuviesen acceso a documentación privada de ingeniería de la compañía, lo que les habría ayudado a crear una copia convincente.

Según el informe, los dos switches falsos utilizaban distintos enfoques hardware para saltarse la autenticación de software en el tiempo de arranque. El primero tenía una circuitería integrada que explotaba un elemento en el código SLIMpro de la ROM para saltarse la verificación de software SLIMpro, que se encargar del cifrado y la autenticación de los dispositivos de red. Mientras, el diseño del segundo switch se cambió para integrar la modificación del otro switch, y además tenía cambiada toda al EEPROM con un circuito integrado desconocido. Esto implica una inversión considerable en diseño, manufactura y prueba de dispositivo.

Además, se explotó un bug del tipo TOCTOU (tiempo de comprobación a tiempo de uso) que afectaba al código SLIMpro de la ROM (también a las unidades no falsificadas del switch), para saltarse las comprobaciones de firma del software.

Cisco está al corriente del hallazgo de estas dos unidades falsificadas, y sostiene que «mantener la integridad y la alta calidad de sus productos y servicios es la prioridad principal de Cisco. Los productos falsificados ocasionan graves riesgos de seguridad para la calidad, rendimiento, seguridad y fiabilidad de la red. Para proteger a nuestros clientes, en Cisco monitorizamos de forma activa el mercado mundial de falsificaciones, además de implementar una arquitectura de seguridad de la cadena de valor holística y pervasiva, compuesta por varios controles de seguridad, para evitar las falsificaciones. Cisco tiene también un equipo de Protección de la marca, que se dedica a detectar, retirar y desmantelar las actividades falsas«.