Onderzoekers hebben een vervalste Cisco-switch ontdekt die van een onbekende kwetsbaarheid gebruikmaakt om te functioneren, zo meldt antivirusbedrijf F-Secure. De switch was gekocht door een niet nader genoemd it-bedrijf. Dit bedrijf had ook een tweede vervalste Cisco-switch gekocht die op een andere manier de secure boot van het apparaat wist te omzeilen. Eind 2019 stoppen beide switches met werken nadat het bedrijf een software-upgrade installeert.
Het lukt het bedrijf nog wel om via de console op de switches in te loggen, maar krijgt daar een melding te zien dat het om vervalste apparatuur gaat. Het downgraden naar de vorige versie biedt geen oplossing. Het bedrijf laat vervolgens een onderzoek naar de switches instellen om te achterhalen of er een backdoor in de apparaten aanwezig is. Al gauw ontdekken de onderzoekers dat er allerlei andere hardware in de vervalsingen wordt gebruikt.
Een backdoor wordt niet aangetroffen. Wel blijkt dat beide switches van aangepaste code gebruikmaken om de verificatie te omzeilen. Bij één van de switches wordt hiervoor gebruik gemaakt van een race condition in de SLIMpro ROM-code. De SLIMpro is een aparte rekeneenheid die in de System-on-Chip aanwezig is en zich bezighoudt met systeemgerelateerde security-operaties. Dit onderdeel is ook verantwoordelijk voor verificatie van geladen software.
De ROM-code laadt verschillende bestanden. Eén van deze bestanden wordt echter twee keer geladen. De eerste keer is om de digitale handtekening van het bestand te lezen. Bij de tweede keer dat het bestand wordt gelezen krijgt het de controle toegewezen. De onderzoekers merken op dat een dergelijke implementatie kwetsbaar is voor een klassieke race condition genaamd time-of-check to time-of-use (TOCTOU).
Hierbij wordt geverifieerde code aangepast nadat die is geverifieerd, maar nog voor die wordt gebruikt. De makers van de vervalste Cisco-switches gebruiken deze race condition om de geladen geauthenticeerde applicatie-image aan te passen voordat de applicatie de controle krijgt. Volgens de onderzoekers was deze kwetsbaarheid nog niet bekend (pdf). F-Secure heeft de kwetsbaarheid aan Cisco gerapporteerd. De netwerkfabrikant laat aan SecurityWeek weten dat het een onderzoek heeft ingesteld.
Deze posting is gelocked. Reageren is niet meer mogelijk.