Los ‘switches’ de Cisco contienen certificados de Huawei

0
127

Los investigadores descubrieron certificados y claves criptográficas firmadas por Huawei en los switches de Cisco. La presencia es el resultado del olvido y los archivos no tienen impacto operacional, pero Cisco aún los elimina con una actualización.

Los investigadores de seguridad de SEC Technologies se sorprendieron cuando descubrieron certificados y claves criptográficas firmadas por Huawei en un puñado de switches Cisco. Esto se refiere a las pequeñas empresas 250, 350, 350X y 550X. Los certificados no hacen daño, pero tampoco tienen lugar en los dispositivos. Cisco confirma su presencia y los elimina con la ayuda de un parche.

Específicamente, se trata de claves de código abierto para el código de Futurewei, que es una subsidiaria estadounidense de Huawei. Las claves para Futurewei fueron firmadas por Huawei y están presentes en código fuente abierto. Ese código es parte de un paquete de prueba OpenDaylight que Cisco utilizó en el desarrollo de los switches. Los desarrolladores olvidaron después de las pruebas para eliminar los archivos.

Actualmente se encuentran en el sistema de archivos de los conmutadores donde no hacen nada malo. Solo para ser claros: este es un error inocente por parte de Cisco de que Huawei no tiene nada, pero tales descubrimientos ocurren naturalmente en un momento en que Huawei ciertamente tiene poco crédito en los EE. UU. Cisco confirma la historia en una respuesta a ZDNet y enfatiza una vez más que los certificados desaparecen con la última actualización de firmware.

En total, Cisco está implementando actualizaciones para 18 vulnerabilidades graves y menos graves, diez de las cuales reciben la etiqueta de «alto impacto». En otras palabras, es una buena idea verificar si su hardware de Cisco tiene las últimas actualizaciones a bordo, independientemente de la historia completa de Huawei.

IDG.es