尷尬了!發給華為的加密證書和密鑰居然進入了思科設備!思科解釋:偷用華為軟件,忘刪了
2019-07-06 09:42:45 EETOP,ZDNet,觀察者網7月3日,思科在其官網一下子列舉19條程序安全相關聲明,建議其客戶對產品進行相關更新。
(https://tools.cisco.com/security/center/publicationListing.x)
其中有一條聲明指出,思科250、350、350X和550X型號交換機,采用了開源程序包OpenDaylight中的一款密鑰證書。而這款密鑰證書出自Futurewei公司之手。后者是華為在美國的研發分支機構。
這個問題也不是思科自己排查出來的。而是網絡安全咨詢公司SEC Consult最早發現。該公司的物聯網部門的研究人員正在使用其IoT Inspector漏洞搜索軟件來探測思科Small Business 250系列交換機的固件映像,發現它們包含發給Futurewei Technologies的數字證書和密鑰。 考慮到政治因素,沒有就這一事件做進一步推測。”
Futurewei Technologies是華為的美國研發部門。據報道,由于美國禁止華為使用美國技術,該研究部門正計劃與中國母艦分開,并禁止華為員工離職,放棄華為標識,并為員工創建自己獨立的IT系統。
但問題是為什么像思科這樣起訴華為專利的美國科技巨頭將其中國競爭對手的證書和密鑰放入自己的交換機中?
之所以會出現這個烏龍,思科方面的解釋是:該公司開發者在測試期間使用了華為的開源包,但后來忘記刪除相關組件。思科將這個鍋甩給軟件測試團隊FindlT Development,稱這是他們的“疏忽”。思科表示,目前已經刪除了上述產品中的華為密鑰證書。由于這個改動對產品安全問題影響不大,這條聲明的“警報等級”也是當天所有補丁聲明中最低的,為“消息級”。
