思科固件中出现华为密钥?

iso60001  1980天前

22.jpg

和华为有关的密钥嵌入在思科的固件中

很多事情的发生都出乎意料。当开发人员在开发公司产品时,通常会使用第三方开源库,而在第三方代码库中往往隐藏着一些难以短时间内发现的安全漏洞。而对于众多开发人员来说,测试固件的安全性,虽然对于遵守既定的安全标准和法律要求来说是十分必要的,但同时也会消耗大量时间。因此,我们特意制作了一个物联网探测器,可对产品固件进行严苛的安全检查。

而在近期,我们用这个工具对多个厂商的产品进行测试,于是乎,居然在思科的固件中发现了和华为相关的信息。

谁是gary.wu1(at)huawei.com,为什么他的密钥嵌入在思科的固件中?

我们研究的目标是Cisco SG250智能交换机的固件镜像,它可直接从思科的官网下载下来。而在用我们的工具分析后,立马就发现了奇怪的现象。固件中包含了某些证书和相应的私钥。而这些文件位置是/root/.ssh/,这个文件夹通常用于存储ssh密钥,而不是证书。

这些证书是由华为的美国子公司Futurewi Technologiesgary.wu1(at)huawei.com颁发的。为了确认是否是误报,我们对此进行了手工和软件分析,证实了结果没问题。那么,一个华为员工的证书是怎么出现在思科固件的镜像中呢?

下图是Gary Wu颁发的证书以及文件所在目录

33.jpg

44.jpg

虽然最近有不少针对华为的政治事件,但我们不想进行无端猜测,我们决定将所有信息告知给思科。而思科的PSIRT立即和我们进行了联系,开始了内部调查,并在调查过程始终和我们保持联系。最后,思科在几天时间就完成了彻底调查,并与我们分享了最终结果。

事实证明,固件中所涉及的证书和私钥是OpenDaylight Github开源软件包的一部分,涉及某些思科的交换机产品,包括所有Cisco 250/350/350x/550x系列的交换机。开发人员会使用证书测试一项名为Cisco Findit的功能。最后由于监督上的疏忽,这个证书最终出现在各种产品的装载版本中。

据思科称,目前还没有发现攻击迹象,因为这些证书实际上没有被发布的固件所利用。随后,思科发布了一个清除了证书的固件,并于近期发布了一份安全建议。此外,思科还处理了我们上报的一些其他问题。其中包括空密码哈希、无用的软件包以及第三方组件中的多个漏洞。我们要感谢思科在处理这些问题时良好态度和及时反馈。

作为一个覆盖全球范围的硬软件供应商,必须确保交付的产品是否安全,切不可省略漫长的产品检查。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.iot-inspector.com/blog/2019/07/huawei-cryptographic-keys-embedded-in-ciscos-firmware/

最新评论

昵称
邮箱
提交评论