您的位置:首页 >科技 >

思科将华为X.509证书和密钥放入自己的交换机中

2019-07-05 09:37:59来源:

思科已经披露了其网络设备中的一系列漏洞,其中包括一个令人尴尬的错误,它将西方的技术人员置于美国公司的工具包中。思科正在告诉客户应用其产品中18个高严重性和中等严重性漏洞的更新,以及一个标记为“信息性”的奇怪错误,这些漏洞会影响其Small Business 250,350,350X和550X系列交换机。

这些交换机中的错误不够严重,无法获得自己的CVE标识符,但它们确实提供了在产品中使用第三方开源组件的众所周知的风险,而无需对它们进行适当的安全检查。

安全公司SEC Consult的物联网部门SEC Technologies的研究人员正在使用其IoT Inspector漏洞搜索软件来探测思科Small Business 250系列交换机的固件映像,发现它们包含发给Futurewei Technologies的数字证书和密钥。

Futurewei Technologies是华为的美国研发部门。据报道,由于美国禁止华为使用美国技术,该研究部门正计划与中国母舰分开,并禁止华为员工离职,放弃华为标识,并为员工创建自己独立的IT系统。

但问题是为什么像思科这样起诉华为专利的美国科技巨头将其中国竞争对手的证书和密钥放入自己的交换机中?

奇怪的是,答案是思科开发人员在测试期间使用华为制造的开源软件包,忘记删除某些组件。

“我们注意到固件中使用了华为证书。考虑到政治上的争议,我们不想进一步推测,”SEC Technologies首席执行官Florian Lukavsky告诉ZDNet。

这些证书是名为OpenDaylight的开源组件的测试包的一部分。它包含一些测试脚本和数据,其中包括华为颁发的证书。

OpenDaylight是一个开源项目,专注于软件定义网络,包括思科,华为和其他主要网络公司。

“这就是证书在固件中的结果。它们被思科开发人员用于测试,他们只是忘记在将证书发送到设备之前将其删除,”Lukavsky说。

他补充说,证书没有被主动使用,只存在于文件系统中。

“我们的研究和思科的研究没有发现任何迹象表明该问题会对客户造成任何威胁。但思科还删除了一些不必要的软件包,并更新了我们发现漏洞的组件,”他说。

根据思科的建议,这些文件包括发给Future的证书和密钥,空密码哈希,不必要的软件包以及一些安全漏洞。