Сетевое оборудование Huawei содержит по меньшей мере один потенциальный бэкдор

Сетевое оборудование Huawei содержит по меньшей мере один потенциальный бэкдор

В одном из устройств с наиболее свежей версией прошивки специалисты обнаружили в общей сложности 1419 уязвимостей.

image

Прошивки более чем половины сетевых устройств производства китайской телекоммуникационной компании Huawei содержат по меньшей мере один потенциальный бэкдор. К такому выводу пришли специалисты компании Finite State по итогам проведенного исследования.

По их словам, несмотря на все заявления Huawei об улучшении безопасности устройств, ситуация лишь «ухудшается со временем». В итоге оборудование китайского производителя подвержено высокому риску компрометации, учитывая наличие как известных уязвимостей, позволяющих удаленно получить доступ, так и потенциальные бэкдоры.

Исследователи проанализировали 1,5 млн файлов в порядка 10 тыс. образов прошивок, используемых в 558 продуктах из линеек корпоративного сетевого оборудования Huawei и выяснили, что более чем 55% прошивок содержат по крайней мере один потенциальный бэкдор. Речь идет о наличии вшитых учетных данных, небезопасном использовании криптографических ключей и «признаках некачественной разработки программного обеспечения».

Один образ прошивки в среднем содержит 102 известные уязвимости (значительную часть из них составляют критические проблемы и уязвимости с высокой степенью опасности) наряду с многочисленными новыми багами, утверждают специалисты. Более того, в одном из устройств с наиболее свежей версией прошивки специалисты обнаружили в общей сложности 1419 уязвимостей.

Одна из ключевых проблем заключается в том, что Huawei не обновляет открытые программные компоненты (в частности, криптографическую библиотеку OpenSSL), которые реализует в своих продуктах. По словам исследователей, средний «возраст» используемых версий ПО составляет 5,36 лет, а в некоторых случаях в прошивках реализованы версии программ, выпущенных 10, а то и 20 лет назад. К примеру, в некоторых прошивках Huawei реализована версия OpenSSL от 1999 года. Также выяснилось, что 389 бинарных файлов в прошивках компании уязвимы к Heartbleed (CVE-2014-0160) - уязвимости, позволяющей похитить конфиденциальную информацию, защищенную TLS-шифрованием.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

  • Ну да шарашкина контора Рога и Копыта "Finite State" нашла что-то там! Разве не понятно что идет травля полнейшая на Huawei так как она опередила компаниия из за лужи. Это просто рэкет убрать конкурента с рынка!
  • Это именно так и есть.
Комментарии для сайта Cackle