思科固件中出现华为密钥？

和华为有关的密钥嵌入在思科的固件中

很多事情的发生都出乎意料。当开发人员在开发公司产品时，通常会使用第三方开源库，而在第三方代码库中往往隐藏着一些难以短时间内发现的安全漏洞。而对于众多开发人员来说，测试固件的安全性，虽然对于遵守既定的安全标准和法律要求来说是十分必要的，但同时也会消耗大量时间。因此，我们特意制作了一个物联网探测器，可对产品固件进行严苛的安全检查。

而在近期，我们用这个工具对多个厂商的产品进行测试，于是乎，居然在思科的固件中发现了和华为相关的信息。

谁是gary.wu1(at)huawei.com，为什么他的密钥嵌入在思科的固件中？

我们研究的目标是Cisco SG250智能交换机的固件镜像，它可直接从思科的官网下载下来。而在用我们的工具分析后，立马就发现了奇怪的现象。固件中包含了某些证书和相应的私钥。而这些文件位置是/root/.ssh/，这个文件夹通常用于存储ssh密钥，而不是证书。

这些证书是由华为的美国子公司Futurewi Technologies的gary.wu1(at)huawei.com颁发的。为了确认是否是误报，我们对此进行了手工和软件分析，证实了结果没问题。那么，一个华为员工的证书是怎么出现在思科固件的镜像中呢？

下图是Gary Wu颁发的证书以及文件所在目录

虽然最近有不少针对华为的政治事件，但我们不想进行无端猜测，我们决定将所有信息告知给思科。而思科的PSIRT立即和我们进行了联系，开始了内部调查，并在调查过程始终和我们保持联系。最后，思科在几天时间就完成了彻底调查，并与我们分享了最终结果。

事实证明，固件中所涉及的证书和私钥是OpenDaylight Github开源软件包的一部分，涉及某些思科的交换机产品，包括所有Cisco 250/350/350x/550x系列的交换机。开发人员会使用证书测试一项名为Cisco Findit的功能。最后由于监督上的疏忽，这个证书最终出现在各种产品的装载版本中。

据思科称，目前还没有发现攻击迹象，因为这些证书实际上没有被发布的固件所利用。随后，思科发布了一个清除了证书的固件，并于近期发布了一份安全建议。此外，思科还处理了我们上报的一些其他问题。其中包括空密码哈希、无用的软件包以及第三方组件中的多个漏洞。我们要感谢思科在处理这些问题时良好态度和及时反馈。

作为一个覆盖全球范围的硬软件供应商，必须确保交付的产品是否安全，切不可省略漫长的产品检查。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.iot-inspector.com/blog/2019/07/huawei-cryptographic-keys-embedded-in-ciscos-firmware/