交换机中出现华为证书和密钥：思科承认误用了华为代码

思科和华为是通信设备上的老对手，市场竞争多年。2003年，思科曾以“抄袭代码”为由将华为告上法庭，然而尴尬的是，思科最近却承认误用了华为代码。据外媒报道，原来，7月3日，思科发布19条安全声明，其中18条涉及中高危漏洞，另一个则是与小企业级250, 350, 350X和550X交换机有关的低级别漏洞。

这些交换机中的错误不是很严重，其错误表现类型为无法获得自己的CVE标识符。但这个错误给思科上了一课--即在产品中使用第三方开源组件而不对其进行适当的安全检查会带来风险。

安全公司SEC Consult物联网部门SEC Technologies的研究人员正使用其oT Inspector漏洞搜索软件来检测思科Small Business 250系列交换机的固件映像时，居然发现这些交换机包含有发给Futurewei Technologies的数字证书和密钥。

Futurewei Technologies是华为的美国研发部门。据报道，由于美国禁止华为使用美国技术，该研究部门正计划脱离华为母公司独立运营，并禁止华为员工离职，不仅放弃华为标识，还要为员工创建自己独立的IT系统。

那么问题来了，为什么思科会将其中国竞争对手的证书和密钥放入自己的交换机中？答案是思科开发人员在测试期间使用华为制造的开源软件包，忘记删除某些组件。

“我们注意到固件中使用了华为证书。考虑到政治上的争议，我们不想进一步推测，”SEC Technologies首席执行官Florian Lukavsky向媒体说道。

这些证书是OpenDaylight的开源组件的测试包的一部分，它包含一些测试脚本和数据，其中包括华为颁发的证书。

“这就是证书在固件被发现的原因。它们被思科开发人员用于测试，他们只是忘记在证书发送到设备之前将（用于测试的华为证书）删除，”Lukavsky解释道。随后他又补充说，（这些华为）证书没有被主动使用，只存在于文件系统中。

“我们的研究和思科的研究没有发现任何迹象表明该问题会对客户造成任何威胁。但思科还删除了一些不必要的软件包，并更新了我们发现漏洞的组件，”他说。

之所以会出现这个乌龙，思科方面的解释是：该公司开发者在测试期间使用了华为的开源包，但后来忘记删除相关组件。思科将这个锅甩给软件测试团队FindlT Development，称这是他们的“疏忽”。思科表示，目前已经删除了上述产品中的华为密钥证书。由于这个改动对产品安全问题影响不大，这条声明的“警报等级”也是当天所有补丁声明中最低的，为“消息级”。