據(jù)ZDNet報道，思科披露了其網絡設備中的一系列漏洞，然而這里面有一個令人尷尬的錯誤，即思科將華為的加密證書放入了自己的交換機里。

據(jù)報道，思科在自己的產品中發(fā)現(xiàn)了18個高嚴重性和中等嚴重性的漏洞，以及一個標記為“信息性”的奇怪漏洞，這一漏洞會影響其Small Business 250，350，350X和550X系列交換機，甚至是嚴重到使交換機無法獲得自己的CVE標識符。

報道稱，安全公司SEC Consult物聯(lián)網部門SEC Technologies的研究人員在使用其漏洞檢測軟件檢測思科的Small Business 250系列交換機的固件映像時，居然發(fā)現(xiàn)這些交換機包含有Futurewei Technologies的數(shù)字證書和密鑰。而Futurewei是華為在美國的研發(fā)部門。

但問題是，長期以來，思科似乎一直竭盡所能的對華為進行打壓，那么為什么還會將其競爭對手的證書和密鑰放入自己的交換機中？

報道表示，是思科開發(fā)人員在測試期間使用了華為制造的開源軟件包，但忘記了刪除某些組件。

有意思的是，SEC Technologies首席執(zhí)行官Florian Lukavsky向媒體說道 ：“我們注意到固件中使用了華為證書，考慮到政治上的爭議，我們不想做進一步推測”。

對于這件事，思科的解釋是這樣的：

在Cisco Small Business 250系列交換機固件中發(fā)現(xiàn)了具有對應的公鑰/私鑰和對應的根CA證書的X.509證書。SEC Consult稱其為“密鑰之家”。這兩份證書均頒發(fā)給了華為子公司Futurewei Technologies。

所涉及的證書和密鑰是思科 FindIT網絡探針的一部分，該探針與Cisco Small Business 250、350、350X和550X系列交換機固件捆綁在一起。這些文件是OpenDaylight開源包的一部分。它們的用途是使用OpenDaylight例程測試軟件的功能。

思科FindIT團隊在開發(fā)思科FindIT網絡探針期間，將這些證書和密鑰用于早期的測試，事實上這些證書沒有在任何正式發(fā)布的思科產品中得到使用。思科FindIT網絡探針的所有供貨版本都使用了動態(tài)創(chuàng)建的證書。

包含在OpenDaylight開源軟件包中的證書和密鑰是思科 FindIT開發(fā)團隊的疏忽。