US-Sicherheitsdienstleister: Huawei-Technik mit mehr Lücken als andere

Von Roland Quandt am 27.06.2019 16:23 Uhr
32 Kommentare
Ein auf Firmware-Analysen spezialisierter Sicherheitsdienstleister aus den USA hat nach eigenen Angaben fast 10.000 Versionen der für den Betrieb von Huawei-Routern und anderer Netzwerktechnik verwendeten Software untersucht und dabei festgestellt, dass sich darin mehr Schwachstellen befinden als bei Produkten anderer Hersteller. Angeblich nimmt der chinesiche Konzern es mit dem Umgang mit Sicherheitslücken nicht so genau.

Wie die Firmware-Analysten von Finite State in einem ausführlichen Dokument zu ihrer Untersuchung von 9.936 Firmware-Images für 558 verschiedene Produkte aus dem sogenannten Enterprise Networking Portfolio berichten, bestehen bei Huawei-Hardware größere Probleme in Sachen Sicherheit als bei anderen Herstellern ähnlicher Produkte. Es gebe ein signifikantes Sicherheitsrisiko, was den Betrieb dieser Systeme angeht, so Firmenchef Matt Wyckhouse in einem Video.

Gut die Hälfte der Huawei-Produkte mit mindestens einer potenziellen 'Backdoor'

Bei der Untersuchung, die Firmwares aus den letzten 14 Jahren bis zum April 2019 abdeckte, stellte Finite State nach eigenen Angaben fest, dass bei rund 55 Prozent der geprüften Produkte mindestens eine Schwachstelle besteht, die als potenzielle "Hintertür" für den Zugriff durch Dritte in Frage kommen kann. Es handelt sich dabei um ernstzunehmende oder kritische Schwachstellen, die eine eigene CVE-Nummer (Common Vulnerabilities and Exposures) tragen und sich von Angreifern ausnutzen ließen.

Finite State bemühte sich klarzustellen, dass man nicht untersucht habe, ob die jeweiligen Sicherheitslücken eventuell absichtlich in der Firmware hinterlassen wurden. Die Hauptquelle der in den Huawei-Produkten bestehenden Lücken ist offenbar die Software von Drittherstellern oder aus der Open-Source-Community. Im Schnitt wies jedes der geprüften Firmware-Images 102 bekannte CVE-Lücken auf, von denen 27 Prozent als ernst oder kritisch eingestuft sind. Es wurden zum Bespiel 79 Versionen von OpenSSL gefunden, wobei die älteste davon aus dem Jahr 1999 stammte.

Schlampige Entwicklerarbeit trotz Investitionen in Sicherheit?

Es gebe zudem keine Belege dafür, dass Huawei Sicherheits-Updates in ältere Binaries integriert, wie es sonst bei sicherheitsbewussten Anbietern üblich sei. In Extremfällen habe es sogar mehr als 1400 CVEs in einzelnen Firmware-Images gegeben. In den meisten Fällen bestünden die Probleme in Form von fest in der Firmware verankerten Standard-Nutzerkonten und -Passwörtern sowie einer Reihe verschiedener Arten von direkt auf dem jeweiligen Gerät eingebetteten kryptografischen Schlüsseln. Ein Hauptproblem sei auch, dass die Huawei-Hardware häufig nicht die zur Verfügung stehenden Maßnahmen zum Schutz vor Angriffen auf den Speicher nutzt.

Finite State prüfte nach eigenen Angaben den Großteil der Firmware-Images, die von Routern, LTE-Mobilfunk-Hardware, Enterprise-Switches, IP-Telefonen, Blade Chassis Controllern und einigen anderen Produktarten stammten, zum Großteil mit automatisierter Software. Das Unternehmen kritisiert Huawei vor allem deshalb, weil sich die Entwickler oft fragwürdiger Methoden bedient haben sollen, um die Firmware gangbar zu machen. Die Ergebnisse der Untersuchung würden nicht dem entsprechen, was man von einem Konzern wie Huawei erwarten dürfe, wenn dieser versichert habe, gut zwei Milliarden Dollar in Programme zur Steigerung der Sicherheit seiner Hardware zu investieren.

Beim Betrachten der Untersuchungsergebnisse von Finite State ist zu bedenken, dass auch andere Hersteller wie Juniper, Cisco und Arista mit ähnlichen Problemen zu kämpfen haben, bei denen durch mangelnde Qualitätssicherung in der Firmware-Entwicklung die Sicherheit beeinträchtigt wird. Hinzu kommt, dass es sich um die erste große Veröffentlichung des Unternehmens handelt, da Finite State erst Ende 2017 gegründet und seitdem im "Stealth Mode" aufgebaut wurde. Die Firma hat nur knapp 30 Mitarbeiter, wobei viele führende Kräfte erst seit einigen Monaten bei Finite State tätig sind, auch wenn sie zuvor viel Erfahrung bei anderen renommierten Firmen sammeln konnten.
32 Kommentare lesen & antworten
whatsapp
Jede Woche neu: Top-News per E-Mail
Verwandte Themen
LTE & 5G
Desktop-Version anzeigen
Hoch © 2020 WinFuture Impressum Datenschutz Cookies