将华为加密证书放入自家交换机?思科:测试完忘删了


中新网7月5日电据外媒报道,思科日前披露了其网络设备的一系列漏洞,其中包括一个令人尴尬的错误,思科将华为的加密证书放入了自己的交换机。

0x251C

据报道,思科在自己的产品中发现了18个高、中严重性漏洞,以及一个标记为“信息”的奇怪错误,该错误影响了其小型企业250、350、350x和550x系列交换机。

这些交换机中的错误并不严重,它们的错误行为类型是它们无法获得自己的cve标识符。但这个错误给了思科一个教训,即在产品中使用第三方开源组件,而不冒进行适当安全检查的风险。

安全公司sec consult iot部门sec consult consulting的研究人员正在使用他们的ot inspector漏洞搜索软件来检测cisco small business 250系列交换机的固件图像。他们发现,这些交换机包括用于FutureWei技术的数字证书和密钥。

FutureWei Technologies是华为在美国的研发部门。据报道,由于美国禁止华为使用美国技术,研究部门正计划离开华为母公司独立运营,并禁止华为员工离开,而不仅仅是放弃华为标志,同时还要为员工创建自己独立的IT系统。

所以问题是,思科为什么要将其中国竞争对手的证书和密钥放入自己的交换机?答案是思科开发人员在测试过程中使用了华为的开源软件包,忘记了删除一些组件。

SEC Technologies首席执行官弗洛里安卢卡夫斯基(Florian Lukavsky)对媒体说:“我们注意到固件中使用了华为证书。我们不想再考虑到政治争议。”

这些证书是OpenDaylight开源组件测试包的一部分,其中包含测试脚本和数据,包括华为颁发的证书。

“这就是为什么在固件中发现证书的原因。思科开发人员将其用于测试。他们只是忘记在将证书发送到设备之前删除华为证书(用于测试),” Lukavsky解释说。然后,他补充说,(这些华为)证书未被有效使用,仅存在于文件系统中。

他说:“我们的研究和思科的研究没有发现问题可能对客户构成任何威胁的迹象。但是思科还删除了一些不必要的软件包,并更新了我们发现的漏洞的组件。”

对此,思科的解释是:

在Cisco Small Business 250系列交换机的固件中找到X.509证书,其中包含相应的公用/专用密钥对和相应的根CA证书。 SEC Consult称其为“钥匙屋”。两种证书均颁发给了华为的子公司华为。

涉及的证书和密钥是Cisco FindIT网络探针的一部分,该探针与Cisco Small Business 250、350、350X和550X系列交换机固件捆绑在一起。这些文件是OpenDaylight开源软件包的一部分。他们的目的是使用OpenDaylight例程来测试软件的功能。

思科FindIT团队在思科FindIT网络探针的开发过程中将这些证书和密钥用于早期测试。实际上,这些证书未在任何正式发布的思科产品中使用。