Pull to refresh

Comments 6

В отличии от обычных коммутаторов они менее требовательны к условиям эксплуатации
>>CPLD Marvell 88E6095F-LG01
>>Вспомним, что у этого устройства есть ещё одна исполнимая среда, со своей, в некотором роде, прошивкой. Это ПЛИС (программируемая логическая интегральная схема), типа CPLD от Marvell
Это не CPLD, не FPGA, а просто свитч.
Судя по всему, вы правы. Я допустил неточность.

Участки низкоуровнего кода, работающего с Ethernet, насколько я понял, составляют целый блок в прошивке. Он детально не изучался, но отмечу, что многие функции, при ведении логов, используют строки «hapiMarv», «marvell», «ethernet», «cpldFlash_», «HMDRV_cpldFlashWrite». Видимо, я поторопился с выводами, для себя назвав этот блок Marvell Ethernet driver и посчитал, что Ethernet switch и CPLD, в данном случае, — одна и та же микросхема.

На деле: микросхема Marvell 88E6095F-LG01, действительно, просто Ethernet switch, которой управляет отдельная микросхема CPLD — Altera MAX II epm240t100isn.

Поэтому когда я говорю, что есть участки кода для чтения и записи конфигурационной памяти CPLD, это относится к микросхеме Altera.

Таким образом, это уточнение концептуально не меняет идею закрепления в отдельной (от основной) исполнимой среде. Также это не меняет потенциальных возможностей этой отдельной исполнимой среды, т.к. в совокупности, они обеспечивают работоспособность интерфейса Ethernet у коммутатора.

Благодарю за подсказку.
UFO just landed and posted this here
По сети облом: умные люди обычно создают отдельный влан

Конечно, наличие правильно настроенного VLAN-а усложнит атаку на коммутатор по сети. Но не исключит, если «взять» сначала узел, имеющий туда (во влан) прямой доступ.

К тому же, коммутаторы могут смотреть не только во влан, а еще и на другие узлы (полевые устройства, например). Я упомянул этот atack surface. Кстати, подобный класс атак на АСУ ТП рассматривался нашей компанией.


И вы правильно отметили о возможности найти RCE:
долго копаться и перешить вот так на лету влив нужный код в ОЗУ

Как я уже говорил механизмов защиты от эсплуатации бинарных уязвимостей в изученных прошивках нет, а это только облегчает задачу. И копаться уже не так долго, как могло бы быть.


Тем не менее, вланы и механизмы защиты не помогут, если новый свитч уже придёт «протрояненным». Или его обновят на малварную прошивку через COM-порт. Оба случая подразумевают физический доступ:
Подписывание прошивки — фигня.
С одной стороны кому будет оч нужно может либо физически перепаять флеху с памятью

Аутентификация через ком порт тоже нафиг не сдалась: если есть физ доступ значит можно всё.


Как раз не фигня. В следующей статье я опишу пример, где физический доступ не даёт прав «можно всё», а именно:
  • прошивку перешить не получится, точнее получится (и то, только аппаратными средствами), только работать ничего не будет :)
  • перепайка будет не рентабельна, не говоря уже о том, что это вообще едва применимо в полевых условиях. Возвращаясь к обсуждаемому примеру, проще уж свитч подменить :)


влив нужный код в ОЗУ и далее уже во флеш


И опять же, наличие контроля подлинности и механизма защиты флэш-памяти хотя бы исключили возможность закрепления на свитче (в случае эксплуатации бинарной уязвимости).


Про расчёт только на выполнение основных задач я согласен:

Мозг у свича мягко говоря никакой

Железо, действительно, не огонь. При том, что эти коммутаторы, по сравнению с обычными, стоят ощутимо дороже. За что переплата? По факту – за старое hardware и firmware в якобы ударопрочном пластиковом корпусе с креплением под DIN-рейку, которое отламывается на раз-два (это я о Hirschmann, у Phoenix Contact корпус металлический). Ну и за поддержку специфических для промышленных сетей протоколов.

Вендоры всё таки позиционируют эту продукцию как девайсы повышенной надёжности. Хотелось бы чтобы они были надежными во всех смыслах (не только в плане эксплуатации, но и в плане безопасности). Потому, что импакт от компрометации промышленного оборудования может быть очень серьёзным.
UFO just landed and posted this here
Sign up to leave a comment.