Analyse von F-Secure

Gefahren durch gefälschte Cisco-Switches

24.08.2020 von Peter Marwan
Experten von F-Secure haben gefälschte Cisco-Switches untersucht und sehen sie als erhebliches Sicherheitsrisiko. Dabei handelt es sich keineswegs um Einzelfälle. 2019 hat der Zoll alleine in Deutschland nicht autorisierte Cisco-Produkte im Wert von rund einer Million Euro beschlagnahmt und zerstört.
Angebot eines gebrauchten Catalyst 2960 bei Ebay. Günstiger Preis und mangelhafte Übersetzung des Angebotstextes sollten zumindest misstrauisch machen - denn der mögliche Schaden beim Kauf eines gefälschten Produktes kann den Experten von F-Secure zufolge erheblich sein.
Foto: Screenshot: ChannelPartner.de

Experten für Hardware-Sicherheit von F-Secure Consulting haben zwei Varianten gefälschter Switches aus der Reihe Cisco Catalyst 2960-X in Hinblick auf die von den Geräten ausgehenden Gefahren untersucht. Den Untersuchungsergebnissen zufolge sind die Produktfälschungen nicht ausdrücklich dazu gedacht, Hintertüren für Angriffe auf das Netzwerk zu eröffnen, in dem sie eingesetzt werden. Allerdings erleichtern sie dieses Vorhaben jedoch erheblich. Denn um zu verhindern, dass sie als Fälschungen erkannt werden, hebeln sie gezielt Sicherheitsvorkehrungen zur Authentifizierung der eingesetzten Komponenten aus.

"Den Fälschern ging es in diesem Fall wohl nur darum, die gefälschten Geräte zu verkaufen. Aber es ist dieselbe Vorgehensweise, mit der wesentlich gefährlichere Angreifer in Unternehmensnetzwerke eindringen, ohne dass es auffällt", sagt Dmitry Janushkevich, Senior Consultant für Hardware-Sicherheit bei F-Secure Consulting und federführender Autor des Reports.

Die bereits 2013 am Markt eingeführte Reihe Catalyst 2960-X umfasst Layer-2- und -3-Access-Switches, und ist ein Dauerbrenner bei Cisco-Kunden. Als modernere Alternative steht inzwischen die Switch-Serie Catalyst 9200 zur Verfügung, die das von Cisco präferierte "intent-based Networking" unterstützt - aber auch teurer ist. Daher gibt es immer noch einen umfangreichen Markt und erhebliches Interesse an den älteren Switch-Modellen, und diese werden die nicht nur neu, sondern auch gebraucht und refurbished angeboten.

Dadurch ist die Preisspanne groß - was es für Endkunden schwierig macht zu erkennen, wie seriös die einzelnen Angebote sind. Die von F-Secure untersuchten Fälschungen ähnelten den Original-Cisco-Switches sowohl physisch als auch in der Funktionsweise stark. Unterschiede ließen sich erst bei einem sehr sorgfältigen Vergleich erkennen.

Original und Fälschung des Cisco Catalyst 2960: Bei der Fälschung (links im Bild) ist die Nummerierung der Ports in Hellweiß statt Grau, die Ausrichtung der Ziffern stimmt nicht und die Dreiecke, die auf unterschiedliche Ports verweisen, sin unterschiedlich groß.
Foto: F-Secure

Dennoch empfiehlt Andrea Barisani, Head of Hardware-Security bei F-Secure Consulting, den Verantwortlichen dringend, das Problem auch bei bereits früher angeschaffter Hardware nicht auf die leichte Schulter zu nehmen. "Ohne die Hardware zu zerlegen und gründlich zu untersuchen, können Organisationen nicht sicherstellen, ob ein manipuliertes Gerät nicht vielleicht gravierende Auswirkungen auf die Unternehmenssicherheit haben könnte, zum Beispiel wenn es die Sicherheitsvorkehrungen der IT-Infrastruktur des Kunden vollständig umgeht."

Barisani empfiehlt Unternehmen daher, Geräte immer nur von autorisierten Händlern zu beziehen, interne Beschaffungsprozesse über eindeutige Richtlinien zu regeln und sicherzustellen, dass alle Geräte mit der neuesten, vom Hersteller bereitgestellten Software laufen. Außerdem sollte man auch auf physische Unterschiede zwischen verschiedenen Einheiten desselben Produkts achten, selbst wenn diese nur gering sind.

Was Cisco gegen Produktfälschungen unternimmt

"Plagiate und Fälschungen stellen eine ernsthafte Gefahr für die Qualität, Leistung, Sicherheit und Zuverlässigkeit von Netzwerken dar. Wir empfehlen unseren Kunden, unsere Produkte nur von uns oder über einen autorisierten Cisco-Partner zu erwerben, um sicherzustellen, dass sie echte und autorisierte Cisco-Produkte erhalten", erklärt auf Anfrage von ChannelPartner Carsten Zöllmann, Investigator Brand Protection bei Cisco Deutschland.

Auf beiden von F-Secure untersuchten Produktfälschungen fehlte der von Cisco als Sicherheitsmerkmal auf seinen Produkten aufgebrachte Hologramm-Aufkleber. Er alleine ist laut F-Secure noch keine Echtheitsgarantie, sein Fehlen jedoch ein sicheres Indiz dafür, dass es sich um eine Fälschung handelt.
Foto: F-Secure

Cisco beobachte den Markt für Fälschungen weltweit und habe eine "ganzheitliche und durchgängige Value Chain Security Architecture" implementiert. "Diese besteht aus verschiedenen Sicherheitskontrollen, um Fälschungen zu verhindern", erklärt Zöllmann, der Teil des größeren, internationalen Markenschutz-Teams von Cisco ist.

das könnte Sie auch interessieren: Cisco-Channel-Chef Tuszik zur Corona-Krise

Die beiden von den F-Secure-Experten bemänglten Switches der "Catalyst 2960-X"-Serie sind diesem Team bekannt. Es untersucht derzeit weitere Aspekte des Falles, um gegebenenfalls entsprechende Maßnahmen zu ergreifen. Das erklärt auch, warum F-Secure nur vage Angaben zur Herkunft der untersuchten Geräte macht: Man habe sie von einer IT-Firma erhalten, bei der sie im Herbst 2019 nach einem Software-Upgrade ausgefallen sind. In welchem Land die Firma ansässig ist oder auf welchem Weg die Switches erworben wurden, wurde nicht mitgeteilt.

Untersuchter Fall nur die Spitze eines Eisbergs

Aufgrund der großen Nachfrage und Verbreitung von Cisco-Produkten werden diese immer wieder Zielscheibe von Produktfälschern, die von Markenbekanntheit und Vertrauen der Kunden in die Marke profitieren wollen. So hat 2019 alleine der Zoll in Deutschland nicht autorisierte Cisco-Produkte im Wert von rund einer Million Euro beschlagnahmt und zerstört.

Carsten Zöllmann, Investigator Brand Protection bei Cisco Deutschland, bittet Partner um Mithilfe bei der Suche nach Produktfälschungen. Ein Indiz könne etwa sein, wenn ein Kunde seinen Cisco-Partner damit konfrontieren, dass sein Angebot zu teuer sei, weil es die Produkte auf Online-Marktplätzen doch viel günstiger gäbe.
Foto: Cisco Systems

Laut Zöllmann ist das aber nur "die Spitze des Eisbergs", weil es sich letztlich nur um das Ergebnis von Stichproben handelt und nur einen Teil des Schadens beziffert. Unausgesprochen zählt zum möglichen Gesamtschaden sicher auch die von F-Secure diskutierte Möglichkeit, dass Angreifer Unzulänglichkeiten der gefälschten Produkte ausnutzen und sich darüber den Zugang zu Netzwerken der Kunden verschaffen, deren Daten abgreifen oder manipulieren und Geschäftsgeheimnisse entwenden.

Mehr zu Cisco: Übernahme von ThousandEyes - Cisco will alles übers Netzwerk wissen

Erst kürzlich hat Cisco in einem Blog für Kunden und Partner in Deutschland dazu Stellung genommen. Dort berichtet der Hersteller, wie sich seine gefälschte Produkte erkennen lassen und bietet seinen Kunden an, im Zweifelsfall diese Produkte zur Verifizierung einzureichen. Dafür steht das Cisco Buy Right-Portal bereit, über das mittels der Seriennummer eine Validierung zum Status der Produkte möglich ist.

Grundsätzlich empfiehlt auch der Netzwerkersteller, seine Produkte nur bei ihm selbst oder über einen autorisierten Cisco-Partner zu erwerben. Die eigenen Partner verspricht Cisco regelmäßig über die mit Plagiaten und nicht autorisierten Produkten verbundenen Gefahren aufzuklären und ihnen Einblicke zu geben, bei welchen Produkten gerade Fälschungen im Umlauf sind - wo also besondere Vorsicht geboten ist. Auch der enge Austausch mit denjenigen Partnern, denen im Markt Akteure begegnen, die weit unter unseren Preisen Produkte anbieten, ist laut Zöllmann für Cisco wichtig: Das gelte auch, wenn Kunden diese Partner damit konfrontieren, dass sie vermeintlich zu teuer sind, weil es die Produkte auf Online-Marktplätzen doch viel günstiger gäbe.

Auch interessant: Lancom wird mit neuen Switches LAN-Komplettanbieter