美網安公司再揭華為:漏洞遍及整個產品線

2019年07月08日
【新唐人北京時間2019年07月08日訊】近日,美國網路安全公司Finite State發布了一項研究結果,揭露華為公司的產品具有較差的安全性和潛在的後門。雖然華為官方推特連發三條推文對此結論提出異議,但Finite State的首席執行長表示: 「我們堅持我們報告中的觀點。我們的立場仍然是,華為的漏洞是廣泛的,它們是真實存在的,且普遍存在於整個產品線中。」
總部位於俄亥俄州哥倫布市的Finite State,利用該公司的自動化系統針對近1萬個編入華為企業網路設備500多個變體中的固件映像進行了地毯式分析,發現有一半以上包含至少一個這種可被利用的漏洞。固件是為計算機硬件組件提供動力的軟件。
研究報告還說,華為此前聲稱設備及其固件的安全性能無法大規模測試的說法是錯誤的。分析發現,每個固件映像檔平均擁有102個已知漏洞,這些固件映像檔都是經過完整修補的,但漏洞卻藏匿在固件所採用的第三方函式庫;當中有2,692款固件含有CVE-2016-7055漏洞;在所有的固件中,有29%至少含有一個預設憑證;在8款固件中找到認證金鑰檔案;424款固件含有SSH私鑰;所有的功能呼叫中,不到17%採用安全功能。
《華爾街日報》報導稱, Finite State的這份報告在公開發布之前,曾在川普政府的高級官員中廣泛傳閱,包括白宮、美國國土安全部和英國國家網路安全中心(Cyber Security Center)的高級官員以及美國議員。這些官員認為報告可信,並表示,這進一步證明了他們對華為的強硬立場是正確的。
華為技術有限公司(Huawei Technologies Co.)對美國一家網路安全公司的調查結果提出異議,稱其分析不完整且不準確。華為官方推特@Huawei Facts對此連發了三條推文,稱Finite State的測試過程與報告方法和權威的安全測試公司的測試方法「相悖」,而且其測試過程沒有解釋供應商、產品和版本的選擇。此外Finite State還進行了選擇性的測試。最後華為表示,在經過自己檢查之後,發現Finite State的結論是錯誤的,並給出了自己的技術分析報告。
而Finite State也對華為的回應進行了回擊,稱華為依然沒有表現出對共同安全原則的承諾。Finite State表示,該公司測試的幾乎所有固件都是今年4月份能夠拿到的最新版本;該公司還稱,華為表示將因該報告而採取一些行動,包括刪除至少一款設備上的嵌入式加密密鑰,而這恰恰證實了Finite State的部分結論。
Finite State的首席執行長懷克豪斯(Matt Wyckhouse)說:「我們堅持我們報告中的觀點。我們的立場仍然是,華為的漏洞是廣泛的,它們是真實存在的,且普遍存在於整個產品線中。」
針對華為批評該評估報告只選擇了瞻博網路和Arista的一款產品與華為的一款高端網路交換機進行漏洞測試比較,而對華為則是選擇了該公司幾乎所有企業網路的數百種產品,懷克豪斯回應稱,報告結論是基於將華為漏洞率與Finite State資料庫中超過25萬固件映像進行對比的結果,其資料庫包括對來自多家供應商設備的測試結果。Finite State沒有將其測試的整個華為全部數據組與瞻博網路或Arista的具體數據組進行對比。
當被問及為什麼把華為設備與瞻博網路和Arista相比,而不是與思科作比較時,懷克豪斯稱,鑒於Finite State現有的客戶基礎,該公司只將華為的設備與其能拿到的設備進行了對比。他表示:「沒有任何惡意。我們也很樂意大規模分析思科的固件。」
(記者陳遠輝報導/責任編輯:祝馨睿)
0