• 手机版
    手机扫一扫访问 讯岚社区手机版
  • 关注讯岚微博
    扫一扫关注 讯岚官方微博
论坛聚焦

来源:HackerNews 面向所有尚处于支持状态的Pixel设备,谷歌于今天发布了2019年7月的Android安全

思科固件中出现华为密钥?

[复制链接]
CareyElion实名认证 发表于 2019-7-6 13:42:23 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题
本帖最后由 CareyElion 于 2019-7-6 13:43 编辑

和华为有关的密钥嵌入在思科的固件中 很多事情的发生都出乎意料。

当开发人员在开发公司产品时,通常会使用第三方开源库,而在第三方代码库中往往隐藏着一些难以短时间内发现的安全漏洞。

而对于众多开发人员来说,测试固件的安全性,虽然对于遵守既定的安全标准和法律要求来说是十分必要的,但同时也会消耗大量时间。因此,我们特意制作了一个物联网探测器,可对产品固件进行严苛的安全检查。 而在近期,我们用这个工具对多个厂商的产品进行测试,于是乎,居然在思科的固件中发现了和华为相关的信息。 谁是gary.wu1(at)huawei.com,为什么他的密钥嵌入在思科的固件中?

我们研究的目标是Cisco SG250智能交换机的固件镜像,它可直接从思科的官网下载下来。而在用我们的工具分析后,立马就发现了奇怪的现象。固件中包含了某些证书和相应的私钥。而这些文件位置是/root/.ssh/,这个文件夹通常用于存储ssh密钥,而不是证书。 这些证书是由华为的美国子公司Futurewi Technologies的gary.wu1(at)huawei.com颁发的。为了确认是否是误报,我们对此进行了手工和软件分析,证实了结果没问题。那么,一个华为员工的证书是怎么出现在思科固件的镜像中呢? 下图是Gary Wu颁发的证书以及文件所在目录


虽然最近有不少针对华为的政治事件,但我们不想进行无端猜测,我们决定将所有信息告知给思科。

而思科的PSIRT立即和我们进行了联系,开始了内部调查,并在调查过程始终和我们保持联系。最后,思科在几天时间就完成了彻底调查,并与我们分享了最终结果。 事实证明,固件中所涉及的证书和私钥是OpenDaylight Github开源软件包的一部分,涉及某些思科的交换机产品,包括所有Cisco 250/350/350x/550x系列的交换机。开发人员会使用证书测试一项名为Cisco Findit的功能。最后由于监督上的疏忽,这个证书最终出现在各种产品的装载版本中。 据思科称,目前还没有发现攻击迹象,因为这些证书实际上没有被发布的固件所利用。

随后,思科发布了一个清除了证书的固件,并于近期发布了一份安全建议。此外,思科还处理了我们上报的一些其他问题。其中包括空密码哈希、无用的软件包以及第三方组件中的多个漏洞。我们要感谢思科在处理这些问题时良好态度和及时反馈。 作为一个覆盖全球范围的硬软件供应商,必须确保交付的产品是否安全,切不可省略漫长的产品检查。

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

周一至周日:09:00-22:00 400-888-4568

扫码讯岚官方微博

Powered by 讯岚社区 X3.4© 2017-2019 xkmchenmu Blog Inc.