據(jù)ZDNet報(bào)道，思科披露了其網(wǎng)絡(luò)設(shè)備中的一系列漏洞，然而這里面有一個(gè)令人尷尬的錯(cuò)誤，即思科將華為的加密證書(shū)放入了自己的交換機(jī)里。

據(jù)報(bào)道，思科在自己的產(chǎn)品中發(fā)現(xiàn)了18個(gè)高嚴(yán)重性和中等嚴(yán)重性的漏洞，以及一個(gè)標(biāo)記為“信息性”的奇怪漏洞，這一漏洞會(huì)影響其Small Business 250，350，350X和550X系列交換機(jī)，甚至是嚴(yán)重到使交換機(jī)無(wú)法獲得自己的CVE標(biāo)識(shí)符。

報(bào)道稱，安全公司SEC Consult物聯(lián)網(wǎng)部門(mén)SEC Technologies的研究人員在使用其漏洞檢測(cè)軟件檢測(cè)思科的Small Business 250系列交換機(jī)的固件映像時(shí)，居然發(fā)現(xiàn)這些交換機(jī)包含有Futurewei Technologies的數(shù)字證書(shū)和密鑰。而Futurewei是華為在美國(guó)的研發(fā)部門(mén)。

但問(wèn)題是，長(zhǎng)期以來(lái)，思科似乎一直竭盡所能的對(duì)華為進(jìn)行打壓，那么為什么還會(huì)將其競(jìng)爭(zhēng)對(duì)手的證書(shū)和密鑰放入自己的交換機(jī)中？

報(bào)道表示，是思科開(kāi)發(fā)人員在測(cè)試期間使用了華為制造的開(kāi)源軟件包，但忘記了刪除某些組件。

有意思的是，SEC Technologies首席執(zhí)行官Florian Lukavsky向媒體說(shuō)道 ：“我們注意到固件中使用了華為證書(shū)，考慮到政治上的爭(zhēng)議，我們不想做進(jìn)一步推測(cè)”。

對(duì)于這件事，思科的解釋是這樣的：

在Cisco Small Business 250系列交換機(jī)固件中發(fā)現(xiàn)了具有對(duì)應(yīng)的公鑰/私鑰和對(duì)應(yīng)的根CA證書(shū)的X.509證書(shū)。SEC Consult稱其為“密鑰之家”。這兩份證書(shū)均頒發(fā)給了華為子公司Futurewei Technologies。

所涉及的證書(shū)和密鑰是思科 FindIT網(wǎng)絡(luò)探針的一部分，該探針與Cisco Small Business 250、350、350X和550X系列交換機(jī)固件捆綁在一起。這些文件是OpenDaylight開(kāi)源包的一部分。它們的用途是使用OpenDaylight例程測(cè)試軟件的功能。

思科FindIT團(tuán)隊(duì)在開(kāi)發(fā)思科FindIT網(wǎng)絡(luò)探針期間，將這些證書(shū)和密鑰用于早期的測(cè)試，事實(shí)上這些證書(shū)沒(méi)有在任何正式發(fā)布的思科產(chǎn)品中得到使用。思科FindIT網(wǎng)絡(luò)探針的所有供貨版本都使用了動(dòng)態(tài)創(chuàng)建的證書(shū)。

包含在OpenDaylight開(kāi)源軟件包中的證書(shū)和密鑰是思科 FindIT開(kāi)發(fā)團(tuán)隊(duì)的疏忽。