實錘了:思科Cisco抄襲華為Huawei忘記刪除證書
據ZDNET報道,思科已經披露了其網絡設備中的一係列漏洞,其中包括一個令人尷尬的錯誤,它將西方的技術人員重大失誤West's tech boogeyman置於美國公司的工具包中。
這些交換機中的錯誤不夠嚴重,無法獲得自己的CVE標識符,但它們確實提供了在產品中使用第三方開源組件的眾所周知的風險,而無需對它們進行適當的安全檢查。
安全公司SEC Consult的物聯網部門SEC Technologies的研究人員正在使用其IoT Inspector漏洞搜索軟件來探測思科Small Business 250係列交換機的固件映像,發現它們包含發給Futurewei Technologies的數字證書和密鑰。
Futurewei Technologies是華為的美國研發部門。據報道,由於美國禁止華為使用美國技術,該研究部門正計劃與中國母艦分開,並禁止華為員工離職,放棄華為標識,並為員工創建自己獨立的IT係統。
但問題是為什麽像思科這樣起訴華為專利的美國科技巨頭將其中國競爭對手的證書和密鑰放入自己的交換機中?
奇怪的是,答案是思科開發人員在測試期間使用華為製造的開源軟件包,忘記刪除某些組件。
思科提供的白皮書
“我們注意到固件中使用了華為證書。考慮到政治上的爭議,我們不想進一步推測,”SEC Technologies首席執行官Florian Lukavsky告訴ZDNet。
這些證書是名為OpenDaylight的開源組件的測試包的一部分。它包含一些測試腳本和數據,其中包括華為頒發的證書。
OpenDaylight是一個開源項目,專注於軟件定義網絡,包括思科,華為和其他主要網絡公司。
“這就是證書在固件中的結果。它們被思科開發人員用於測試,他們隻是忘記在將證書發送到設備之前將其刪除,”Lukavsky說。
他補充說,證書沒有被主動使用,隻存在於文件係統中。
“我們的研究和思科的研究沒有發現任何跡象表明該問題會對客戶造成任何威脅。但思科還刪除了一些不必要的軟件包,並更新了我們發現漏洞的組件,”他說。
根據思科的建議,這些文件包括發給Future的證書和密鑰,空密碼哈希,不必要的軟件包以及一些安全漏洞。
思科為這種情況提供了這樣的解釋:
在Cisco Small Business 250係列交換機固件中找到具有相應公鑰/私鑰對和相應根CA證書的X.509證書。 SEC Consult稱這是“鑰匙之家”。這兩個證書都發給了華為子公司第三方實體Futurewei Technologies。
有問題的證書和密鑰是與Cisco Small Business 250,350,350X和550X係列交換機固件捆綁在一起的Cisco FindIT網絡探測器的一部分。這些文件是OpenDaylight開源軟件包的一部分。它們的用途是使用OpenDaylight例程測試軟件的功能。
Cisco FindIT團隊在開發Cisco FindIT網絡探測器期間將這些證書和密鑰用於其預期的測試目的;它們從未用於產品的任何運輸版本中的實時功能。 Cisco FindIT網絡探測的所有發行版本都使用動態創建的證書。
在運輸軟件中包含OpenDaylight開源軟件包中的證書和密鑰是Cisco FindIT開發團隊的疏忽。
思科已從FindIT Network Probe軟件和Small Business 250,350,350X和550X係列交換機固件中刪除了這些證書和相關密鑰,從本通報後麵列出的版本開始。
來源:
更多我的博客文章>>>
