聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
据刚刚曝光的一份法庭起诉书称,曾在思科位于丹麦的子合同商 NetDesign 工作的员工 James Glenn 于2011年5月状告思科在明知一款视频监控软件存在安全缺陷的情况下,多年来仍然出售给美国政府。8年后的今天,思科同意为此支付860万美元。该案件根据美国《虚假申报法 (Flase Claims Act)》处理。该前合同工按照这项法案通过代表政府提起“举发奖励(要求取得罚金的起诉,此项罚金由起诉人与官方均分)”诉讼,报告政府合同中存在的欺诈行为。在起诉书中,Glenn指出,他在思科的视频监控管理器 (VSM) 中找到多个安全缺陷。VSM 是一款多软件包,可用于控制视频监控摄像头、存储记录的视频内容并允许操作人员操纵通过摄像头记录的视频。Glenn 表示,这些漏洞可导致黑客越权访问存储在 VSM 中的数据、关闭摄像头协助入侵人员、设置是获得对客户整个网络的“管理员”访问权限。Glenn 表示他已在2008年10月将问题告知思科。Net Design 公司不久后以降低成本为由解雇了 Glenn。2010年 Glenn 发现思科未能修复这些漏洞。另外,思科继续将 VSM 包出售给包括美国政府部门在内的全球客户。起诉代理律所Constantine Cannon 的一名律师 Hamsa Mahendranathan 指出,“这款视频监控软件用于机场、警察局和学校。它本来应该让我们更安全,但实际上让我们麻烦不断。”报告未得到回应后,Glenn根据随后有18个州加入的《虚假申报法》提起举报诉讼。这18个州包括:加利福尼亚州、特拉华州、佛罗里达州、夏威夷州、伊利诺伊州、印第安纳州、马萨诸塞州、明尼苏达州、蒙大拿州、内华达州、新罕布什尔州、新泽西州、新墨西哥州、纽约州、北卡罗来纳州、罗德岛州、田纳西州、弗吉尼亚州和哥伦比亚特区。思科最终在2013年修复了这些漏洞(CVE-2013-3429、CVE-2013-3430 和CVE-2013-3431),并在一年后全面停止出售 VSM 包。思科的一名发言人表示,“我们很高兴解决了由2007年收购 Broaddware 后在产品组合中新增的一款视频安全技术产品基础架构于2011年引发的纠纷。未有任何指控或证据表明该基础架构导致客户视频遭越权访问。”思科的执行副总裁兼首席法务官 Mark Chandler 表示,860万美元中“部分是对美国联邦政府机构和16个州在思科2008年至2013年财年间所购产品的退款。”不过思科确实表示,视频内容“从理论上来讲可能会被入侵”,不过起诉书并未表示有人已经利用这些漏洞。在这860万美元罚款中,Glenn及其律师将获得160万美元。“举发奖励”诉讼允许举报人获得某比例的罚款额。余下的700万美元将退款给联邦政府机构。Chandler 表示,思科从未因这些合同获得巨额利润,VSM 软件在美国政府实体中的总销售额“远远低于思科总销售额的百分之一。”他还表示,“虽然这是一个不复存在的遗留问题,但它让我们认识到时代和人们的期望已经发生改变。”
原文链接
https://www.zdnet.com/article/cisco-to-pay-8-6-million-for-selling-vulnerable-software-to-us-government/
https://thehackernews.com/2019/08/cisco-surveillance-technology.html
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。