Équipements réseau contrefaits : nouvelle alerte sur Cisco

Clément Bohic,
Cisco contrefaçons switchs

Démonstration à l’appui avec des switchs Cisco, F-Secure attire l’attention sur la contrefaçon d’équipements réseau et les risques qui en découlent.

Des équipements réseau contrefaits ? Le sujet n’est pas nouveau. Un rapport signé F-Secure le remet toutefois en lumière.

L’entreprise finlandaise de sécurité informatique s’est intéressée à des switchs Cisco Catalyst 2960-X, dans le cadre d’un audit que lui avait commandé, à l’automne 2019, un groupe IT.

Ce dernier avait perdu une partie de ses équipements, rendus inopérants par une mise à jour logicielle. C’est en discutant de leur remplacement qu’il a commencé à suspecter des contrefaçons.

Les travaux de F-Secure se fondent sur trois exemplaires du même switch. D’un côté, un « authentique », obtenu auprès d’un revendeur Cisco. De l’autre, deux contrefaçons issues du réseau du client : l’une fonctionnelle, l’autre non fonctionnelle après mise à jour.

Made in Cisco… ou presque

Avant même d’aller chercher sous le capot, il existe des différences physiques, pas forcément évidentes à repérer. Entre autres :

  • La numérotation des ports (graisse police de caractères, alignement du texte…)
  • Couleur et forme de certains pictogrammes ainsi que du bouton de sélection de mode

Au niveau du PCB :

  • Absence du sticker holographique sur les deux modèles contrefaits
  • Différentes références pour les puces de mémoire flash
  • De manière générale, des composants différents, voire supplémentaires, ou dont les références ont été retirées au laser

Le switch non fonctionnel restait accessible en mode console. Son examen – ainsi que celui du modèle fonctionnel – a révélé l’exploitation d’une faille permettant de contourner la protection Secure Boot.

Dans les grandes lignes :

  • L’image logicielle intégrée est authentique et passe donc les vérifications d’intégrité.
  • Le bootloader est modifié de sorte à appeler, à chaque démarrage, du code masqué qui patche « à chaud » l’image logicielle authentifiée.
  • Cette modification permet de contourner la vérification d’intégrité de la plate-forme – qui, autrement, pose problème, comme en témoigne l’analyse en mode console.

Sur l’un des switchs contrefaits, un mécanisme d’interception des signaux de contrôle issus d’une EEPROM est mis en place afin de modifier le contenu de l’image logicielle. Sur l’autre, l’EEPROM est carrément remplacée par un circuit intégré.

Illustration principale © Cisco