故意向政府銷售漏洞影片軟體曝光,Cisco 賠償 860 萬美元

作者 | 發布日期 2019 年 08 月 02 日 16:10 | 分類 資訊安全 , 軟體、系統 follow us in feedly


據外媒報導,思科(Cisco)同意支付 860 萬美元解決一起客戶提起的訴訟,這名客戶指控網路巨頭思科故意銷售有嚴重安全漏洞的影片監控套件。

美國律師事務所 Constantine Cannon 稱,代表思科經銷商 NetDesign 的影片監控專家 James Glenn 提起訴訟。

Glenn 表示,他在思科影片監控管理器(VSM)裡發現幾個安全漏洞。這些漏洞可能使攻擊者透過監控軟體存取數據儲存託管、控制攝影機、繞過安全措施,並在特定情況下獲得透過主機網路的「管理」連線權。

「這影片監控軟體原本應該讓我們更安全,然而這問題的漏洞更令人不安,」Constantine Cannon 的律師 Hamsa Mahendranathan 表示,他代表舉報人 James Glenn。

早在 2008 年,便有人發現思科影片監控軟體的漏洞,但思科繼續出售軟體給美國代理商,直到 2013 年 7 月。

2010 年 6 月,Glenn 發現思科沒有解決暴露客戶或遭駭客攻擊的漏洞,然後他向 FBI 報告了調查結果。

「軟體嵌入一些程式碼,這是漏洞的來源所在。攻擊者依據漏洞可輕鬆取得管理存取權限,並為自己建造系統後門,軟體甚至不會記錄創建管理員帳號。」

Glenn 向思科報告漏洞後 5 個月被解僱,NetDesign 指這不是懲罰,而是普通的削減成本措施。

據報導,儘管思科 2013 年解決了軟體缺陷,但訴訟稱仍可能會洩露使用該設備的聯邦和州級機構機密信息。

此解決方案涵蓋 2007~2014 年思科影片監控管理器的銷售情況。系統允許客戶透過中央伺服器管理和連接多台連接網路的監視器。

律師 Claire Sylvia 分析,許多聯邦和州政府機構都依賴思科的影片監控系統來幫助監控設施的安全。

「投訴中客戶提出重要的安全問題。思科應該深知軟體缺陷非常嚴重,以至於損害影片監控系統和連接到它們的任何電腦系統安全性。」Sylvia 稱。

現在,思科已同意根據《不實陳述法》(False Claims Act)提出的指控賠償。

按照訴訟,思科承諾向出售給各州政府機構的軟體支付民事賠償金,包括國土安全部、特勤局、陸軍、海軍、海軍陸戰隊、空軍和聯邦緊急事務管理局,也包括紐約和加州等 15 州,以及哥倫比亞特區也向思科提出索賠。

(本文由 雷鋒網 授權轉載;首圖來源:Flickr/Prayitno / Thank you for (12 millions +) view CC BY 2.0)