Categories: Sicherheit

US-Sicherheitsfirma entdeckt zahlreiche Sicherheitslücken in Netzwerkausrüstung von Huawei

Die amrerikanische IoT-Sicherheitsfirma Finite State hat die Firmware von Huaweis Netzwerkgeräten untersucht und dabei zahlreiche Sicherheitslücken entdeckt: „Es gibt deutliche Hinweise dafür, dass Zero-Day-Lücken, die auf Speicherfehlern basieren, in Huawei-Firmware reichlich vorhanden sind. Zusammengefasst, wenn man bekannte Anfälligkeiten, die einen Fernzugriff erlauben, und mögliche Hintertüren hinzuzählt, scheint es bei Huawei-Geräten ein hohes Risiko für eine Kompromittierung zu geben“, schreibt Finite State in seiner Studie (PDF).

Finite State will zudem herausgefunden haben, dass Huaweis öffentliche Bekenntnisse zur Verbesserung der Sicherheit seiner Produkte bisher keine Früchte tragen. Stattdessen habe sich die Situation verschlechtert. „Von einem technischen Standpunkt aus betrachtet, gehören die Huawei-Geräte zu den schlechtesten, die ich jemals analysiert habe“, so Finite State weiter.

Die Studie basiert nach Angaben des Unternehmens auf der Untersuchung von 1,5 Millionen Dateien aus 10.000 Firmware-Images, die von 558 Huawei-Enterprise-Netzwerk-Produkten stammen. In mehr als 55 Prozent der Firmware-Images fanden die Sicherheitsforscher mindestens eine kritische Sicherheitslücke. Dazu gehören voreingestellte Anmeldedaten, ein unsicherer Umgang mit kryptografischen Schlüsseln und Anzeichen für eine schlechte Softwareentwicklung.

Durchschnittlich fand Finite State 102 bekannte Schwachstellen in jedem Huawei-Firmware-Image, sowie Belege für Zero-Day-Lücken. Vor allem Open-Source-Komponenten wie OpenSSL würden nicht regelmäßig aktualisiert. Durchschnittlich seien die Open-Source-Komponenten mehr als fünf Jahre alt, Tausende Instanzen dieser Komponenten sollen es sogar auf mehr als zehn Jahre bringen. Die älteste OpenSSL-Version in einer Huawei-Firmware wurde bereits 1999 veröffentlicht.

Sicherheitslücken in Firmware sind allerdings kein Problem, das sich auf Huawei oder andere chinesische Firmen beschränkt. US-Firmen wie Cisco und Fortinet müssen regelmäßig schwerwiegende Schwachstellen in ihrer Gerätesoftware stopfen, die oftmals auch das Einschleusen und Ausführen von Schadcode aus der Ferne erlauben. 2016 mussten die beiden Firmen beispielsweise bestätigen, dass die Hacking-Tools Extrabacon und Epicbanana, die die ominöse Gruppe „Shadow Brokers“ der zur NSA gehörenden Equation Group gestohlen haben soll, Sicherheitslücken in ihren Produkten ausnutzen. In einer Sicherheitswarnung erklärte Cisco damals, es habe „sofort eine gründliche Untersuchung der veröffentlichten Dateien“ eingeleitet. Dabei seien zwei Fehler in den Cisco Adaptive Security Appliances (ASA) entdeckt worden. Ein Exploit nutze eine Zero-Day-Lücke aus, die es einem Angreifer erlaube, ohne Eingabe eines Benutzernamens und Passworts auf die Firewall zuzugreifen. Das erlaube es ihm zudem, beliebigen Schadcode auszuführen. Die andere Schwachstelle sei schon 2011 beseitigt worden.

Im Zuge der Snowden-Enthüllungen wurde außerdem bekannt, dass der US-Auslandsgeheimdienst National Security Agency (NSA) in Router, Server und andere Netzwerkgeräte, die in den USA hergestellt werden, Hintertüren einbaut. Demnach fängt die NSA die Geräte ab oder erhält sie, bevor sie exportiert werden. Die Unterlagen, die der Jorunalsit Glenn Greenwald auch für sein Buch über Edward Snowden mit dem Titel „No Place to Hide“ benutzt hat, stammen aus dem Jahr 2010. Darin wird beschrieben, wie die NSA in den USA produzierte Hardware abfängt, Überwachungswerkzeuge implementiert, sie neu verpackt und dann an die eigentlichen Empfänger im Ausland verschickt.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

22 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

22 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

2 Tagen ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

2 Tagen ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

2 Tagen ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

2 Tagen ago