联想收购IBM的BNT产品组后,在网络交换机中发现“后门”
2018-01-15 10:26:47来源:雷锋网 热度:
近日,联想工程师在 RackSwitch 和 BladeCenter 网络交换机固件中发现后门。本周初,该公司已经发布了固件更新。联想公司表示,他们在收购“其他公司”之后,对被收购公司的产品固件进行了内部安全审计,并发现了后门。
后门是在 2004 年植入的
联想公司表示,后门只会影响运行ENOS(企业级网络操作系统)的 RackSwitch 和 BladeCenter交换机。
雷锋网发现,这个后门是在 2004 年被加入到 ENOS 系统的,当时 ENOS 由北电网络公司的 Blade 服务器交换机业务部门(BSSBU)负责维护。联想公司称,北电网络似乎已经授权“BSSBU OEM客户”加入后门的请求。在关于这个问题的安全咨询中,联想公司还提到了一个名为“HP backdoor”的后门。
2006年,北电网络将 BSSBU 业务部门关闭,后者转型成为了 BLADE Network Technologies(BNT)公司,但是之后后门代码似乎仍然保留在了固件之中。
即便在 2010 年,IBM 收购了 BNT 公司之后,后门还是保留在了代码里。直到 2014 年,联想公司收购了 IBM 的 BNT 产品组合。
针对联想和 IBM 交换机发布更新
联想公司表示:
“存在绕过身份验证或授权机制,是联想公司无法接受的,这种做法也不符合联想产品安全或行业惯例。联想已经从 ENOS 源代码中删除了后门,并且发布了针对受影响产品的固件更新。”
固件更新适用于联想品牌的新型交换机,也适用于仍然在市场上流通和运行的 ENOS 旧版 IBM 品牌交换机。在联想的安全公告中,还提供了获取固件更新的交换机产品列表,以及固件更新的下载链接。
同时,联想公司还表示,在 CNOS(云网络操作系统)内没有发现相关后门,因此,运行该操作系统的交换机是安全的。
后门很难被利用
实际上,那个被称为“HP backdoor”的后门并不是一个隐藏账户,而是在一个绕过授权机制,而且即便在非常严格的条件下也能够完成操作。
通过 SSH、Telnet、网页界面和串行控制台,RackSwitch 和 BladeCenter 交换机可以支持各种身份验证方法。当受影响的交换机启动了各种身份验证机制、或是安全功能被打开或关闭时,黑客就可以利用此后门并绕过身份验证。不过,如果使用这些交换机的客户无法立刻获得固件更新,可以采取一些缓解措施,防止后门被启动。
这个漏洞编号为CVE-2017-3765,后续也会在此编号下做进一步追踪。
责任编辑:黄焱林
为您推荐
联想全资收购手机公司 挑战国产手机宿命论即便是在国产手机整体市场份额又创下34%的新低时,联想移动总经理刘志军依然是少数几个坚持认为“国产手机会有美好的明天”的人之一。2005年12月21日,联想集团(0992,HK)发布公告,宣布以现金人民币7200万元(港币6800万元),收购厦华电子持有双方手机合资公司剩余的19.2%股权。该合资公司联想移动主要在中国从事手机生产及销售业务,在交易完成后将成为联想集团的全资附属公司。而厦华电子将彻底退出合资公司。在刚刚过去的这一年里,联想移动已经上升成为手机市场排名第四的手机厂商,甚至在单月销量上已超过了位列国产手机第一的波导。在全资掌控联想移动后,刘志军将独自面临国产手机宿命论的挑战。似是而
联想进行2006年首次架构调整 组建大中国区新浪科技讯北京时间1月4日消息,从2006年1月1日起,联想集团在香港和澳门业务与团队将正式并入中国区,而联想中国区也正式组建成新的大中国区。这也是联想集团于2006年进行的首次架构调整。1月4日,联想中国区高管也集体前往香港,就业务与团队的并入召开相关会议。香港和澳门地区此前被划归在联想亚太区,与东南亚、日本、澳大利亚等国家和地区市场并列在一起。目前,在香港和澳门,Think系列产品的销量占到大部分市场,“Lenovo”品牌也进入了这两个地区进行销售。中国区是联想集团的利润支柱。目前中国区销量占整个集团的40%以上,收入占30%多,而利润则超过50%。联想集团新闻发言人也介绍说,香港和澳门地
联想亚信收入预期大降 俞兵离职齐舰出任CEO联想亚信科技有限公司董事长和CEO兼总裁齐舰先生。新浪科技配图图为前任联想亚信科技有限公司董事长、CEO俞兵先生。新浪科技配图新浪科技讯1月4日下午,亚信集团董事会及管理委员会宣布联想亚信的人事调整,任命亚信副总裁齐舰代替俞兵任联想亚信董事长、CEO兼总裁,即日生效。同时联想亚信表示第四季收入将低于预测。亚信管理层目前预期第四季度净收入大约是1600万美元至1700万美元,此前预测的数
联想亚信二号人物突请辞 重组委员会三去一北京1月5日晚上11时消息,联想亚信二号人物、联想网御总经理任增强已经正式向亚信集团提出辞职。这也是继1月4日下午,董事长、CEO兼总裁俞兵辞职之后,联想亚信的第二次高管变动。当天晚间,任增强本人也向新浪科技证实了这一消息。电话中他表示,个人确实提交了辞职信,不过,辞职原因和其他信息目前暂时不便公开。值得注意的是,在俞兵辞职之后,任增强承担了更重要的工作,他的突然辞职显然让联想网御重组委员会的工作更加艰巨。1月4日下午,亚信集团董事会及管理委员会发布公告,宣布联想亚信人事调整,任命亚信副总裁齐舰代替俞兵任联想亚信董事长、CEO兼总裁,调整即日生效。公告同时也表示,联想集团与亚信集团共同组建了由