如果你不介意站在错误的一边,生产假冒产品是一项伟大的事业,而且一直都是如此。不需要在昂贵的研发过程中投资,不需要选择性能和外观最好的材料,唯一的标准是制造成本。这就是为什么我们在市场上看到很多假冒产品的原因,而且很可能会继续看到它们的制造和销售价格只有正品的一小部分。思科设计、制造和销售的网络硬件就是一个很好的例子。由于卓越的工程技术,这些产品享有极高的声誉,售价不菲。自然,这促使人们试图制造假货,试图轻松赚钱。
2019年秋季,一家IT公司发现一些网络交换机在软件升级后出现故障。该公司稍后会发现,他们无意中采购了疑似假冒思科设备。硬件故障引发了一项更广泛的调查,F-Secure硬件安全团队被要求对可疑的假冒Cisco Catalyst 2960-X系列交换机进行分析,主要是提供证据,证明这些设备中是否存在任何形式的后门功能。
由于区分真品和假冒设备不是一件小事,因此验证不存在后门功能也不是微不足道的;需要进行大量的技术调查工作。最终,我们能够以合理的信心得出结论,即没有引入后门。此外,我们还确定了允许其中一个伪造产品正常工作的完整利用链:安全组件中以前未记录的允许绕过设备安全引导限制的漏洞。
本文详细介绍了得出这一结论的过程,旨在分享团队在这次旅行中获得的技术知识。