20/07/2019, 10:17

Thiết bị mạng của Huawei dính lỗ hổng bảo mật đáng lo ngại

Mới đây, công ty bảo mật của Mỹ có tên Finite State đã tiến hành phân tích các thiết bị mạng doanh nghiệp của Huawei vì nghi có chứa nhiều lỗ hổng bảo mật. Phạm vi đánh giá được thực hiện với 10.000 firmware được tạo cho tổng cộng 558 sản phẩm, bao gồm bộ định tuyến, thiết bị chuyển ...

Mới đây, công ty bảo mật của Mỹ có tên Finite State đã tiến hành phân tích các thiết bị mạng doanh nghiệp của Huawei vì nghi có chứa nhiều lỗ hổng bảo mật. Phạm vi đánh giá được thực hiện với 10.000 firmware được tạo cho tổng cộng 558 sản phẩm, bao gồm bộ định tuyến, thiết bị chuyển mạch, thiết bị 4G, điện thoại IP…

Nghiên cứu cho thấy hơn một nửa trong số các firmware có chứa ít nhất một “cửa hậu” (backdoor) tiềm năng, tức lỗ hổng mà tin tặc có thể lợi dụng để tấn công. Trong đó, 29% thiết bị được kiểm tra sử dụng tên người dùng và mật khẩu mặc định. Finite State cũng tìm thấy 424 firmware có thể bị tấn công xen giữa (man-in-the-middle).

Các nhà nghiên cứu cũng so sánh thiết bị mạng cao cấp của Huawei với sản phẩm tương đương của nhà cung cấp khác. Sản phẩm được đưa ra phân tích là Huawei CE12800, Arista 7280R và Juniper EX4650. Kết quả, thiết bị của Arista và Juniper đều có lỗ hổng nhưng ít nghiêm trọng hơn sản phẩm của Huawei.

Finite State cũng thực hiện so sánh các bản firmware khác nhau để xem Huawei có tăng bảo mật theo thời gian không. Với thiết bị mạng CE6851, công ty nghiên cứu thấy rằng phiên bản mới hơn V200 lại bảo mật kém hơn so với bản V100 trước đó.

Phản hồi về báo cáo trên, Huawei cho biết đang phân tích và xem xét thông tin. “Huawei coi trọng bảo mật và coi đó là ưu tiên hàng đầu. Chúng tôi không và sẽ không bao giờ cho phép đặt ‘cửa hậu’ trên thiết bị của mình”, công ty viễn thông Trung Quốc tuyên bố.

Mỹ và một số nước châu Âu lo ngại thiết bị của Huawei, bao gồm cả những sản phẩm cho mạng 5G trong tương lai, có thể chứa backdoor nhằm tạo điều kiện cho gián điệp Trung Quốc. Huawei bác cáo buộc này nhưng không ngăn được chính quyền tổng thống Trump ra lệnh cấm đối với công ty Trung Quốc.

Nguồn SecurityWeek

0