華為加密證書和密鑰居然進入了思科設備！思科回應：疏忽，忘刪了！

摘要：在2003年，思科曾指控華為「抄襲代碼」，將華為子公司告上法庭。而當時思科的指控對象，就包括華為在美研發分支Futurewei。如今思科卻被爆出在自己的設備中使用了華為子公司Futurewei的證書和密鑰，並且使用了華為的代碼，遭ZDNet新聞網吐槽「尷尬」。

在2003年，思科曾指控華為「抄襲代碼」，將華為子公司告上法庭。而當時思科的指控對象，就包括華為在美研發分支Futurewei。如今思科卻被爆出在自己的設備中使用了華為子公司Futurewei的證書和密鑰，並且使用了華為的代碼，遭ZDNet新聞網吐槽「尷尬」。

7月3日，思科在其官網一下子列舉19條程序安全相關聲明，建議其客戶對產品進行相關更新。

(https://tools.cisco.com/security/center/publicationListing.x)

其中有一條聲明指出，思科250、350、350X和550X型號交換機，採用了開源程序包OpenDaylight中的一款密鑰證書。而這款密鑰證書出自Futurewei公司之手。後者是華為在美國的研發分支機構。

這個問題也不是思科自己排查出來的。而是網路安全諮詢公司SEC Consult最早發現。該公司的物聯網部門的研究人員正在使用其IoT Inspector漏洞搜索軟體來探測思科Small Business 250系列交換機的固件映像，發現它們包含發給Futurewei Technologies的數字證書和密鑰。?考慮到政治因素，沒有就這一事件做進一步推測。」

Futurewei Technologies是華為的美國研發部門。據報道，由於美國禁止華為使用美國技術，該研究部門正計劃與中國母艦分開，並禁止華為員工離職，放棄華為標識，並為員工創建自己獨立的IT系統。

但問題是為什麼像思科這樣起訴華為專利的美國科技巨頭將其中國競爭對手的證書和密鑰放入自己的交換機中？

之所以會出現這個烏龍，思科方面的解釋是：該公司開發者在測試期間使用了華為的開源包，但後來忘記刪除相關組件。思科將這個鍋甩給軟體測試團隊FindlT Development，稱這是他們的「疏忽」。思科表示，目前已經刪除了上述產品中的華為密鑰證書。由於這個改動對產品安全問題影響不大，這條聲明的「警報等級」也是當天所有補丁聲明中最低的，為「消息級」。

為了進一步澄清，思科強調，證書和密鑰僅僅存在於文件系統中，並沒有被設備激活使用。

來源：整理自ZDNet、觀察者網

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！