Cisco製スイッチの偽装品が出回っているとの報告

大手ネットワーク機器ベンダーのCisco製スイッチの偽装品が市場に流通していると、セキュリティ調査企業「F-Secure」が報告しています。

The Fake Cisco
https://labs.f-secure.com/publications/the-fake-cisco

THE FAKE CISCO Hunting for backdoors in Counterfeit Cisco devices
(PDF)ttps://labs.f-secure.com/assets/BlogFiles/2020-07-the-fake-cisco.pdf

F-SecureはCatalyst 2960-Xシリーズの2種類の偽装品スイッチに対して調査を実施。スイッチが偽装品である場合はソフトウェアアップグレード後に「このスイッチはシスコ製でないか、シスコの認証を受けていない可能性があります」というエラーメッセージが表示されるとともに動作不能になると報告されており、すでに知らず知らずのうちに偽装品を購入してしまった企業も存在するとのこと。

正規品と偽装品の外見上の違いとしては、ポート番号の表記が左側の偽装品の方が右側の正規品よりもはっきりと印字されており、偽装品の番号は印字にズレも生じているとのこと。また、ポート下の三角形の形も少し異なっています。

「MODE」ボタンの形状も若干異なっており、管理ポート右上の印も正規品の方が明るいことがわかります。

正規品には画像のようなホログラムステッカーが基板上に貼り付けられていますが、偽装品には無かったとのこと。

スイッチの基板のレイアウトを比較してみると、左側の偽装品と右側の正規品とでは実装が大きく異なっています。

基板に正規品にはない偽装品オリジナルの部品が取り付けられてたり……

チップ上のプリントが隠されているといった偽装品の特徴も報告されています。

偽装品と正規品は内部的にも異なっているとのこと。例えばフラッシュメモリ上のファームウェアを「Binwalk」で分析し、エントロピーグラフを比較してみると、左の偽装品と右の純正品ではその形状が大きく異なっていることがわかります。

ファームウェアに余計なデータが含まれていることがわかる、F-Secureによるバイナリデータの分析結果が以下。右側の正規品では何も書き込まれていない部分に、左側の偽装品ではデータが存在しています。

他にもブートローダーやHBOOT認証を通過するための追加部品といった違いも報告されています。F-Secureは「偽装品はブランドを持つ企業の信頼や利益を損なうだけでなく、偽装品の被害にあった企業のセキュリティリスクを高めることにもつながります」と述べています。