Cisco BE4000 avagy ISR4321
Sikeresen hozzánk került fél tudat új Cisco BE4000 -es eszköz, ami első ránézésre routernek tűnt, de első indítást követően kiderült nem. A nálunk lévő eszköz egy telefonközpont gateway mely a cisco "SD-WAN" hálózaton keresztül kommunikál a végpontokkal valamint a cisco felhőjével. Megpróbáltunk egy eszközt be regisztrálni de nem jutottunk sokra mivel nem rendelkezünk ciscohoz regisztrált céggel.
Szétszedés után a hátoldalon és az alaplapon lévő jelzésekből megállapítottuk, hogy ez az eszköz gyakorlatilag egy Cisco ISR 4321 es router egy előre definiált konfiggal.
Akkor nincs is más dolgunk mint kitörölni a konfigot és lesz egy routerünk?
Sajnos nem...
Boot után konzolból kizárólag a wan interfész ip címét tudjuk állítani valamit a gyári beállításokat visszaállítani. És ezzel még nincs vége, ugye ciscó eszközöknél boot interrupt után tudojuk szerkeszteni flash tartalmát de itt nem ez a helyzet, mivel a boot interrupt is tilva van. Szerencsére a flash egy kis emmc kártyán van egy socketbe melyet ki tudunk cserélni, de ez se vitt minket sokkal előrébb mivel a ennek kivétele után se lép be az eszköz a rommon menübe.
Az alaplap alaposabb megvizsgálása után kiderült, hogy egy intel alapú x86-64 es rendszerről van szó ami már jobban megmozgatta a fantáziánkat.
Szóval így kezdődött az egész projekt
Tudunk e router IOS -t telpiteni az eszközre, esetleg valamely egyéb os-t pl VyOs -t
Na de essünk is neki, mink is van pontosan:
Alaplap tekintetében egy megegyező lap az ISR 4321 routerrel, integrálva egy Intel Atom C2558 procival és 4gb rammal. De ezen felül van még pár dolog benne melyek normálisan opcionális extrák, úgy mint az extra 4GB DDR3 memória, egy 32GB mérető msata ssd (router esetében felesleges) és a hardveres gyorsító kártya. ház az 1:1 megegyezik a routerrel csak a név más a front panelen
És el is érkeztünk az első problémához, bekapcsolás kellene valmint áramforrás ugyan is nincs egyetlen egy töltőnk se ami hozzávaló, ráadásul két feszültség érték van feliratozva asz eszközön egy 6 pines pcie táp nak kinéző csatlakozó alatt 12VDC és 54VDC. (Spoiler alert nem pcie, ne is próbáld meg) tracek nézegetése után e következő lett a konklúzió:
12Voltról tápolva ezzel a kiosztással működik az eszköz
| VCC | VCC | ? |
- - - - - - - - - - - -
| GND | GND | ? |
A fennmaradó 2 pin szerepére még nem jöttünk rá, lehetséges hogy a POE-s bővítőmodulnak kellhet de ez még nem biztos
Na de most hogy be is tudjuk kapcsolni az eszközt és megállapítottuk hogy nem lehet csak úgy konfigurációt cserélni, így lehet mélyebbre ásni.
Próbáljuk meg kitörölni a config cfg file t a lash röl de realizáltuk hogy valószínűleg nem a szokványos router ios lesz ezen az eszközön így következett az összes flash chip, emmc és sdd dumpolása
Legegyszerűbben az ssd volt megvalósítható mivel csak socketbe be kellet pattintani.
Meglepően egy virtuális gépet tartalmazott, a cisco telefonközpont szoftverével
Ennek tartalma itt megtalálható:
http://fennec.hu/cisco/ssd.zip
Na de a többi adat kinyerése már kis macerával jár
A kis flash modul alján lévő usb2642ml ic alapján valamint az alaplapon lévő "USB" feliratból gyanúsan usb protokollt használ. Ic adatlapját átnyálazva és multiméterrel tracek bökdösése után megvan a pinout egy apró csavarral, ennek 3.3V kell a normál 5v helyett
Tápnak egy egyszerű usb uart modult használva gyorsan össze is drótoztunk egy adaptert, és jöhetett is a flash klónozása. Meglepően sok partíció, fájlrendszer volt a kis tárolón melynek nagy része még ismeretlen
Ennek tartalma itt megtalálható:
http://fennec.hu/cisco/emmc.zip
Következő delikvens a hátoldalán található emmc, ez már trükkösebb lesz ugyan is le kellet vennünk 2db ellenállást az usb data lineokról és onnan tudtuk kivezetni az adatot egy hasonló megoldással mint az előző cip esetében, annyi különbséggel ,hogy itt nincs szükség külön tápra
Itt viszont nem találtunk különösen érdekes dolgok csak néhány string et
Ennek tartalma itt megtalálható:
http://fennec.hu/cisco/emmc2.zip
Ezek után jöhetnek az SPI flash ek, szám szerint 3db. ebböl 2 megegyező chip egymás mellet ugyan azzal a jelzéssel, némi Cisco community forum olvasgatás után kiderült, hogy a redundáns rommon lesz valószínűleg. Valamint lesz még egy flash a lap hátoldalán is
ezeket kiolvasva kiderült hogy a feltételezett rommon -t tartalmazó flash tartalmaz egy uefi biost és ezen belül található a cisco rommon, de sajnos nem ez lett a helyzet...
Mind 2 chip tartalma különboző, de UEFI bios editorral megnyitható
Viszont a túloldalon lévő flash chip tartalma nem feldolgozható számunka jelenleg, binwalk nem hozott eredményt...
u11b:
u12b:
Feltételezett ROMMON / BIOS
http://fennec.hu/cisco/cisco_u11b_cspi.bin
Vele megegyező chip
http://fennec.hu/cisco/cisco_u12b_cspi.bin
Ismeretlen flsah
http://fennec.hu/cisco/spi_flash1.bin
És ezzel fel is jött a kérdés, fel tudjuk e tenni a router re szánt rom ot, tudunk e egy open source biost tenni a jelenlegi helyére mint pl coreboot
További update hamarosan, a projeket előrehaladásával....