Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Представляйте решения на онлайн-конференции!

Сетевое оборудование Huawei содержит по меньшей мере один потенциальный бэкдор

28/06/19

Huawei 5Прошивки более чем половины сетевых устройств производства китайской телекоммуникационной компании Huawei содержат по меньшей мере один потенциальный бэкдор. К такому выводу пришли специалисты компании Finite State по итогам проведенного исследования.

По их словам, несмотря на все заявления Huawei об улучшении безопасности устройств, ситуация лишь «ухудшается со временем». В итоге оборудование китайского производителя подвержено высокому риску компрометации, учитывая наличие как известных уязвимостей, позволяющих удаленно получить доступ, так и потенциальные бэкдоры.

Исследователи проанализировали 1,5 млн файлов в порядка 10 тыс. образов прошивок, используемых в 558 продуктов из линеек корпоративного сетевого оборудования Huawei и выяснили, что более чем 55% прошивок содержат по крайней мере один потенциальный бэкдор. Речь идет о наличии вшитых учетных данных, небезопасном использовании криптографических ключей и «признаках некачественной разработки программного обеспечения».

Один образ прошивки в среднем содержит 102 известные уязвимости (значительную часть из них составляют критические проблемы и уязвимости с высокой степенью опасности) наряду с многочисленными новыми багами, утверждают специалисты. Более того, в одном из устройств с наиболее свежей версией прошивки специалисты обнаружили в общей сложности 1419 уязвимостей.

Одна из ключевых проблем заключается в том, что Huawei не обновляет открытые программные компоненты (в частности, криптографическую библиотеку OpenSSL), которые реализует в своих продуктах. По словам исследователей, средний «возраст» используемых версий ПО составляет 5,36 лет, а в некоторых случаях в прошивках реализованы версии программ, выпущенных 10, а то и 20 лет назад. К примеру, в некоторых прошивках Huawei реализована версия OpenSSL от 1999 года. Также выяснилось, что 389 бинарных файлов в прошивках компании уязвимы к Heartbleed (CVE-2014-0160) - уязвимости, позволяющей похитить конфиденциальную информацию, защищенную TLS-шифрованием.

Темы:HuaweiУгрозыбэкдоры
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • Безопасность сетей 5G
    Александр Зубарев, Директор по информационной безопасности ООО “Техкомпания Хуавэй"
    Основные особенности архитектуры сетей 5G и связанные с ними проблемы безопасности.
  • О стратегии и практике обеспечения ИБ компании Huawei в России
    Александр Зубарев, Директор по информационной безопасности ООО “Техкомпания Хуавэй"
    Информационная безопасность – ключевой приоритет для Huawei во всех развиваемых современных ИКТ, на каждом этапе их создания.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
3 апреля. Отечественные ИT-платформы и ПО для объектов КИИ
Участвуйте!

Еще темы...

More...