近些年，中国企业海外并购的案例越来越多，不过在并购的时候，一定小心对方给留的坑。近日，联想工程师在RackSwitch 和 BladeCenter网络交换机固件中就发现了一个2004年植入的后门，距今已经13年了。不过，联想已经发布了发布了漏洞更新，说来也巧，联想也是在做内部产品安全调查时，发现了这个后门。

“HP后门”是怎样被加入的

这个后门是在2004年被加入到 ENOS 系统的，当时 ENOS 由北电网络公司的Blade服务器交换机业务部门(BSSBU)负责维护。按着联想公司的判断，是BSSBU同意在产品中加入后门的。

至此以后该后门代码就一直保留在了固件之中。即便IBM 在2010年 收购了 BNT 公司之后，该后门就一直隐藏在其中。再后来，IBM的服务器业务在2014年被联想收购，当时联想也并未发现它。也就是说，该后门历经两次收购，依然存在至今，直至被发现。

“HP后门”的攻击特点

该后门属于安全绕过漏洞 ，CVE编号为CVE-2017-3765， CVE官方信息显示，这个CVE-2017-3765漏洞创建日期是在2016年12月16日。

联想将其称为“HP后门”，该后门并不是一个隐藏账户，而是在Telnet、SSH以及Web接口下均可以利用。在特定情况下执行本地身份验证时，可以访问此旁路机制。如果被利用，攻击者可以获得交换机的管理权限。

“HP后门”的攻击面

在以下情况下，SSH管理界面很容易被利用：

1.正在使用的ENOS固件是在2004年5月至2004年6月间创建的。

2.启用一个或多个RADIUS或TACAS +，并启用相关的“后门”或“安全后门”本地认证回退，并发生RADIUS或TACAS +认证超时。

注意：这些接口的LDAP不容易受到攻击。

在以下情况下，Web管理界面易受攻击：

1.一个不太可能的内部乱序执行条件（争用条件）发生AND。

2.启用一个或多个RADIUS或TACAS +，并启用相关的“后门”或“安全后门”本地认证回退，并发生RADIUS或TACAS +认证超时。

注意：这些接口的LDAP不容易受到攻击

在以下情况下，Telnet和串行控制台管理界面易受攻击：

1.LDAP，RADIUS和TACAS +都被禁用。

2.启用LDAP，RADIUS或TACAS +中的一个或多个，并启用相关的“后门”或“安全后门”本地认证回退，并且发生LDAP，RADIUS或TACAS +认证超时。联想公司表示，该门只会影响运行ENOS(企业级网络操作系统)的 RackSwitch 和 BladeCenter交换机。

联想公司表示：

存在绕过身份验证或授权机制，是联想公司无法接受的，我们已经从 ENOS 源代码中删除了后门，并且发布了针对受影响产品的固件更新。

固件更新适用于联想品牌的新型交换机，也适用于仍然在市场上流通和运行的 ENOS 旧版 IBM 品牌交换机。同时，联想公司还表示，在CNOS(云网络操作系统)内没有发现相关后门，因此，运行该操作系统的交换机是安全的。

不过，如果使用这些交换机的客户无法立刻获得固件更新，可以采取一些缓解措施，防止后门被启动。比如：

1.启用LDAP，RADIUS或TACAS +远程认证和。

2.对于已启用的任何LDAP，RADIUS或TACAS +，禁用相关的“后门”和“安全后门”。

3.限制对串行控制台端口的物理访问。