美网安公司再揭华为:漏洞遍及整个产品线

2019年07月08日
【新唐人北京时间2019年07月08日讯】近日,美国网路安全公司Finite State发布了一项研究结果,揭露华为公司的产品具有较差的安全性和潜在的后门。虽然华为官方推特连发三条推文对此结论提出异议,但Finite State的首席执行长表示: “我们坚持我们报告中的观点。我们的立场仍然是,华为的漏洞是广泛的,它们是真实存在的,且普遍存在于整个产品线中。”
总部位于俄亥俄州哥伦布市的Finite State,利用该公司的自动化系统针对近1万个编入华为企业网路设备500多个变体中的固件映像进行了地毯式分析,发现有一半以上包含至少一个这种可被利用的漏洞。固件是为计算机硬件组件提供动力的软件。
研究报告还说,华为此前声称设备及其固件的安全性能无法大规模测试的说法是错误的。分析发现,每个固件映像档平均拥有102个已知漏洞,这些固件映像档都是经过完整修补的,但漏洞却藏匿在固件所采用的第三方函式库;当中有2,692款固件含有CVE-2016-7055漏洞;在所有的固件中,有29%至少含有一个预设凭证;在8款固件中找到认证金钥档案;424款固件含有SSH私钥;所有的功能呼叫中,不到17%采用安全功能。
《华尔街日报》报导称, Finite State的这份报告在公开发布之前,曾在川普政府的高级官员中广泛传阅,包括白宫、美国国土安全部和英国国家网路安全中心(Cyber Security Center)的高级官员以及美国议员。这些官员认为报告可信,并表示,这进一步证明了他们对华为的强硬立场是正确的。
华为技术有限公司(Huawei Technologies Co.)对美国一家网路安全公司的调查结果提出异议,称其分析不完整且不准确。华为官方推特@Huawei Facts对此连发了三条推文,称Finite State的测试过程与报告方法和权威的安全测试公司的测试方法“相悖”,而且其测试过程没有解释供应商、产品和版本的选择。此外Finite State还进行了选择性的测试。最后华为表示,在经过自己检查之后,发现Finite State的结论是错误的,并给出了自己的技术分析报告。
而Finite State也对华为的回应进行了回击,称华为依然没有表现出对共同安全原则的承诺。Finite State表示,该公司测试的几乎所有固件都是今年4月份能够拿到的最新版本;该公司还称,华为表示将因该报告而采取一些行动,包括删除至少一款设备上的嵌入式加密密钥,而这恰恰证实了Finite State的部分结论。
Finite State的首席执行长怀克豪斯(Matt Wyckhouse)说:“我们坚持我们报告中的观点。我们的立场仍然是,华为的漏洞是广泛的,它们是真实存在的,且普遍存在于整个产品线中。”
针对华为批评该评估报告只选择了瞻博网路和Arista的一款产品与华为的一款高端网路交换机进行漏洞测试比较,而对华为则是选择了该公司几乎所有企业网路的数百种产品,怀克豪斯回应称,报告结论是基于将华为漏洞率与Finite State资料库中超过25万固件映像进行对比的结果,其资料库包括对来自多家供应商设备的测试结果。Finite State没有将其测试的整个华为全部数据组与瞻博网路或Arista的具体数据组进行对比。
当被问及为什么把华为设备与瞻博网路和Arista相比,而不是与思科作比较时,怀克豪斯称,鉴于Finite State现有的客户基础,该公司只将华为的设备与其能拿到的设备进行了对比。他表示:“没有任何恶意。我们也很乐意大规模分析思科的固件。”
(记者陈远辉报导/责任编辑:祝馨睿)
0