POST Luxembourg 是此次变乱的直接收影响运营商,其为卢森堡国度控股的电信企业。 该公司通信负责人保罗·劳施(Paul Rausch)表示,此次事宜是一场针对收集设备的拒绝办事(DoS)进击,应用了“非公开、未记录的体系行动”,事发时并不存在可用补丁,且“与任何已知或先前记录在案的马脚无关”。 他称,华为在过后告诉 POST,其此前从未在任何客户收集中遭受同类进击,也没有现成解决筹划。
对于谁应负责提交 CVE 编号这一问题,卢森堡国度防护高等委员会谈话人表示,按照通行披露流程,该决定权在厂商一方。 POST 方面则称,公司已向相干方供给了技巧信息,但无权决定对外披露方法。 报道指出,华为没有回应为何未就此次导致全国通信中断的马脚公开宣布 CVE 的询问。 事发十个月后,外界仍不清楚这一马脚是否已被彻底修补、全球范围内有若干运营商曾经或仍然裸露在风险之下,以及当前运行类似华为体系的收集设备是否依旧存在隐患。
多名接收过相干保密传递的消息人士将此次事宜界定为一次零日进击。 固然今朝没有任何证据显示同样的进击再次产生,但这一缺点的技巧成因仍未获得公开解释,相干问题也从未获得华为方面正面承认。 报道称,华为在稿件刊发前收到了记者发出的具体问询,但未作出任何回应。
变乱产生在 2025 年 7 月 23 日接近下班时分。 当时,POST 的固定德律风收集以及 4G、5G 移动收集同时瘫痪,可能稀有十万居平易近在事宜持续时代无法拨打紧急德律风。 查询拜访显示,这是由精心构造的收集流量触发的,这些流量让华为企业路由器陷入持续重启轮回,导致 POST 核心收集中的关键节点反复崩溃,进而激发全国范围的通信中断。 事发三个多小时后收集才慢慢恢复,而此后该国紧急呼叫中间在短时光内接到了数百通新增来电。
事发当时,卢森堡当局曾将该事宜描述为“一次异常高等且复杂的收集进击”。 POST 表示,这一表述主如果针对应用该马脚所需的技巧才能,并非传统意义上以流量洪峰压垮体系的体量型 DDoS 进击。 当局最初曾将变乱界定为一场分布式拒绝办事(DDoS)进击,POST 此后澄清,这与黑客活动人士或收集犯法分子常用的大年夜范围流量进击手段并不雷同。
卢森堡检方谈话人介绍,警方与收集安然专家开展的查询拜访发明,有“被修改的数据”经由过程 POST 这一互联网办事供给商中转,而这些数据“可被用于动员针对随便率性目标办事器的进击”。 但在此次事宜中,这些数据并不是被正常转发,而是触发了 POST 体系的异常行动,使其停止工作并重启。 卢森堡国度防护高等委员会(High Commission for National Protection)的谈话人表示,最终查询拜访认为“没有证据注解,进击是将 POST Luxembourg 作为特定目标而有意提议的”。 今朝尚无任何刑事指控被提出。
上述查询拜访成果注解,激发全国瘫痪的泉源,可能只是恶意构造的收集流量在互联网中传递时“路过”了 POST 的基本举措措施。 然而,华为路由器并未像惯例设备那样将数据简单转发,而是触发了某种未公开的故障状况,导致设备反复停止工作并重启,从而放大年夜为全国性变乱。 报道指出,华为自研的 VRP 收集操作体系以前曾出现过与精心构造协定流量相干的拒绝办事马脚,例如 CVE-2021-22359 和 CVE-2022-29798 等。 在其他大年夜型收集设备厂商的产品中,也曾出现类似缺点:畸形流量可激发设备崩溃、反复重载,甚至在处理日常通信时遭长途入侵。 不过,POST 强调,此次卢森堡事宜与此前已公开披露的华为马脚并无接洽关系。
报道同时存眷到一个更广泛的“披露缺口”问题。 近年来,华为仍会为部分花费类产品提交 CVE 编号,但关于其企业级收集软件的公开马脚信息则愈发稀少,现有公开案例多由自力安然研究人员披露,而非厂商主动宣布。 公司仍在向客户宣布企业安然通知布告,但这些通知布告仅经由过程受限的客户门户供给,而非面向全行业的公开传递。 例如,华为上月经由过程该门户宣布了一份涉及数据包解析的拒绝办事马脚安然公告,并未配套 CVE 编号。 当前没有证据注解,这则公告与卢森堡事宜存在接洽关系。
在此次进击产生后,卢森堡方面与华为举办了一系列技巧会议,以查明变乱原因。 卢森堡的收集安然主管机构也经由过程现有的当局合作渠道,将相干情况传递给全欧洲范围内的合作应急响应团队。 然而,直到今天,仍没有任何干于这一关键零日马脚的 CVE 被正式提交,全球收集安然社区也是以未获得完全的公开预警。
发表评论 取消回复