Categories: Sicherheit

US-Sicherheitsfirma entdeckt zahlreiche Sicherheitslücken in Netzwerkausrüstung von Huawei

Die amrerikanische IoT-Sicherheitsfirma Finite State hat die Firmware von Huaweis Netzwerkgeräten untersucht und dabei zahlreiche Sicherheitslücken entdeckt: „Es gibt deutliche Hinweise dafür, dass Zero-Day-Lücken, die auf Speicherfehlern basieren, in Huawei-Firmware reichlich vorhanden sind. Zusammengefasst, wenn man bekannte Anfälligkeiten, die einen Fernzugriff erlauben, und mögliche Hintertüren hinzuzählt, scheint es bei Huawei-Geräten ein hohes Risiko für eine Kompromittierung zu geben“, schreibt Finite State in seiner Studie (PDF).

Finite State will zudem herausgefunden haben, dass Huaweis öffentliche Bekenntnisse zur Verbesserung der Sicherheit seiner Produkte bisher keine Früchte tragen. Stattdessen habe sich die Situation verschlechtert. „Von einem technischen Standpunkt aus betrachtet, gehören die Huawei-Geräte zu den schlechtesten, die ich jemals analysiert habe“, so Finite State weiter.

Die Studie basiert nach Angaben des Unternehmens auf der Untersuchung von 1,5 Millionen Dateien aus 10.000 Firmware-Images, die von 558 Huawei-Enterprise-Netzwerk-Produkten stammen. In mehr als 55 Prozent der Firmware-Images fanden die Sicherheitsforscher mindestens eine kritische Sicherheitslücke. Dazu gehören voreingestellte Anmeldedaten, ein unsicherer Umgang mit kryptografischen Schlüsseln und Anzeichen für eine schlechte Softwareentwicklung.

Durchschnittlich fand Finite State 102 bekannte Schwachstellen in jedem Huawei-Firmware-Image, sowie Belege für Zero-Day-Lücken. Vor allem Open-Source-Komponenten wie OpenSSL würden nicht regelmäßig aktualisiert. Durchschnittlich seien die Open-Source-Komponenten mehr als fünf Jahre alt, Tausende Instanzen dieser Komponenten sollen es sogar auf mehr als zehn Jahre bringen. Die älteste OpenSSL-Version in einer Huawei-Firmware wurde bereits 1999 veröffentlicht.

Sicherheitslücken in Firmware sind allerdings kein Problem, das sich auf Huawei oder andere chinesische Firmen beschränkt. US-Firmen wie Cisco und Fortinet müssen regelmäßig schwerwiegende Schwachstellen in ihrer Gerätesoftware stopfen, die oftmals auch das Einschleusen und Ausführen von Schadcode aus der Ferne erlauben. 2016 mussten die beiden Firmen beispielsweise bestätigen, dass die Hacking-Tools Extrabacon und Epicbanana, die die ominöse Gruppe „Shadow Brokers“ der zur NSA gehörenden Equation Group gestohlen haben soll, Sicherheitslücken in ihren Produkten ausnutzen. In einer Sicherheitswarnung erklärte Cisco damals, es habe „sofort eine gründliche Untersuchung der veröffentlichten Dateien“ eingeleitet. Dabei seien zwei Fehler in den Cisco Adaptive Security Appliances (ASA) entdeckt worden. Ein Exploit nutze eine Zero-Day-Lücke aus, die es einem Angreifer erlaube, ohne Eingabe eines Benutzernamens und Passworts auf die Firewall zuzugreifen. Das erlaube es ihm zudem, beliebigen Schadcode auszuführen. Die andere Schwachstelle sei schon 2011 beseitigt worden.

Im Zuge der Snowden-Enthüllungen wurde außerdem bekannt, dass der US-Auslandsgeheimdienst National Security Agency (NSA) in Router, Server und andere Netzwerkgeräte, die in den USA hergestellt werden, Hintertüren einbaut. Demnach fängt die NSA die Geräte ab oder erhält sie, bevor sie exportiert werden. Die Unterlagen, die der Jorunalsit Glenn Greenwald auch für sein Buch über Edward Snowden mit dem Titel „No Place to Hide“ benutzt hat, stammen aus dem Jahr 2010. Darin wird beschrieben, wie die NSA in den USA produzierte Hardware abfängt, Überwachungswerkzeuge implementiert, sie neu verpackt und dann an die eigentlichen Empfänger im Ausland verschickt.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Kai Schmerer @KaiSchmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Digitale Risiken im Blick: Dark Web Monitoring für Unternehmen

Illegale Marktplätze, Foren und Chats – im Kampf gegen Cyberkriminelle ist das Deep und Dark Web als Informationsquelle alles andere…

1 Tag ago

HPE GreenLake: Optimale Basis für Ihre Cloud

HPE GreenLake ist ein IT-as-a-Service-Angebot, das das Cloud-Erlebnis in Ihre On-Premises-Infrastruktur bringt und Ihre Edges, Clouds und Rechenzentren vereinheitlicht. Lernen…

1 Tag ago

HPE unterstützt höhere Nachfrage nach virtuellen Arbeitsplätzen

Kunden stehen neue Finanzierungsoptionen zur Verfügung. Dazu gehören Kurzzeitmieten und ein befristeter Zahlungsaufschub. Vorkonfigurierte VDI-Lösungen sollen die Einführung virtueller Arbeitsplätze…

2 Tagen ago

IDC: COVID-19 lässt weltweite IT-Ausgaben voraussichtlich um 2,7 Prozent schrumpfen

Besonders hart soll die Corona-Krise die Nachfrage nach PCs, Tablets und Smartphones treffen. Auch in den Bereichen Software und IT-Services…

2 Tagen ago

Bis zu 5,3 GHz: Intel stellt neue Mobilprozessoren vor

Sie richten sich an Spieler und Entwickler. Intel verspricht einen Leistungszuwachs von bis zu 44 Prozent im Vergleich zu einem…

2 Tagen ago

Microsoft verschiebt Support-Ende für TLS 1.0 und 1.1

Die veralteten Verschlüsselungsprotokolle erhalten aufgrund der Corona-Krise eine Gnadenfrist. Edge Chromium unterstützt sie noch mindestens bis Juli, Internet Explorer und…

2 Tagen ago