思科已经披露了其网络设备中的一系列漏洞,其中包括一个令人尴尬的错误,它将西方的技术人员置于美国公司的工具包中。
思科正在告诉客户应用其产品中18个高严重性和中等严重性漏洞的更新,以及一个标记为“ 信息性 ”的奇怪错误,这些漏洞会影响其Small Business 250,350,350X和550X系列交换机。
这些交换机中的错误不够严重,无法获得自己的CVE标识符,但它们确实提供了在产品中使用第三方开源组件的众所周知的风险,而无需对它们进行适当的安全检查。
安全公司SEC Consult的物联网部门SEC Technologies的研究人员正在使用其IoT Inspector漏洞搜索软件来探测思科Small Business 250系列交换机的固件映像,发现它们包含发给Futurewei Technologies的数字证书和密钥。
Futurewei Technologies是华为的美国研发部门。据报道,由于美国禁止华为使用美国技术,该研究部门正计划与中国母舰分开,并禁止华为员工离职,放弃华为标识,并为员工创建自己独立的IT系统。
但问题是为什么像思科这样起诉华为专利的美国科技巨头将其中国竞争对手的证书和密钥放入自己的交换机中?
奇怪的是,答案是思科开发人员在测试期间使用华为制造的开源软件包,忘记删除某些组件。
“我们注意到固件中使用了华为证书。考虑到政治上的争议,我们不想进一步推测,”SEC Technologies首席执行官Florian Lukavsky告诉ZDNet。
这些证书是名为OpenDaylight的开源组件的测试包的一部分。它包含一些测试脚本和数据,其中包括华为颁发的证书。
OpenDaylight是一个开源项目,专注于软件定义网络 ,包括思科,华为和其他主要网络公司。
“这就是证书在固件中的结果。它们被思科开发人员用于测试,他们只是忘记在将证书发送到设备之前将其删除,”Lukavsky说。
他补充说,证书没有被主动使用,只存在于文件系统中。
“我们的研究和思科的研究没有发现任何迹象表明该问题会对客户造成任何威胁。但思科还删除了一些不必要的软件包,并更新了我们发现漏洞的组件,”他说。
根据思科的建议,这些文件包括发给Future的证书和密钥,空密码哈希,不必要的软件包以及一些安全漏洞。
思科为这种情况提供了这样的解释:
在Cisco Small Business 250系列交换机固件中找到具有相应公钥/私钥对和相应根CA证书的X.509证书。SEC Consult称这是“钥匙之家”。这两个证书都发给了华为子公司第三方实体Futurewei Technologies。
有问题的证书和密钥是与Cisco Small Business 250,350,350X和550X系列交换机固件捆绑在一起的Cisco FindIT网络探测器的一部分。这些文件是OpenDaylight开源软件包的一部分。它们的用途是使用OpenDaylight例程测试软件的功能。
Cisco FindIT团队在开发Cisco FindIT网络探测器期间将这些证书和密钥用于其预期的测试目的; 它们从未用于产品的任何运输版本中的实时功能。Cisco FindIT网络探测的所有发行版本都使用动态创建的证书。
在运输软件中包含OpenDaylight开源软件包中的证书和密钥是Cisco FindIT开发团队的疏忽。
思科已从FindIT Network Probe软件和Small Business 250,350,350X和550X系列交换机固件中删除了这些证书和相关密钥,从本通报后面列出的版本开始。
上一条: 谷歌浏览器新功能:可阻止大量广告的网站
下一条: ICA要求ICANN解释.org涨价决定
