今（5）日，據(jù)彭博社消息，彭博社于4月30日發(fā)表的一篇報道顯示，沃達豐集團公司幾年前發(fā)現(xiàn)了華為提供的設(shè)備存在的安全漏洞。這篇文章基于彭博社獲得的文件以及與熟悉情況的人士交談。

集微網(wǎng)消息，今（5）日，據(jù)彭博社消息，彭博社于4月30日發(fā)表的一篇報道顯示，沃達豐集團公司幾年前發(fā)現(xiàn)了華為提供的設(shè)備存在的安全漏洞。這篇文章基于彭博社獲得的文件以及與熟悉情況的人士交談。

以下是其中一份文件的摘錄。

該文件是華為向沃達豐意大利業(yè)務(wù)供應(yīng)的家用路由器中發(fā)現(xiàn)telnet后門后于2011年4月發(fā)布。這兩家公司均表示路由器問題與開發(fā)后無法刪除的維護和診斷功能有關(guān)，在2011年稍晚時已解決。

在該文件中，沃達豐當(dāng)時的首席信息安全官Bryan Littlefair概述了沃達豐如何發(fā)現(xiàn)telnet服務(wù)，要求華為將其刪除，并得到供應(yīng)商保證問題得到解決。經(jīng)過進一步測試，沃達豐發(fā)現(xiàn)telnet服務(wù)仍然可以在稱為沃達豐站的路由器中啟動。以下是Littlefair對情況的評估：

華為是否已在自己的軟件中構(gòu)建telnet功能或使用其他公司的操作系統(tǒng)（VxWorks）還有待澄清。一個意見是，華為不知道如何改變VX Works的配置，這在孤立的情況下是合理的?？紤]到華為很了解Vodafone的擔(dān)憂，華為試圖掩蓋telnet后門的舉動反而引發(fā)更大擔(dān)憂。

下面，Littlefair列出了與后門相關(guān)的感知風(fēng)險：

設(shè)想的風(fēng)險

這些安全漏洞帶來的主要風(fēng)險是：

*利用緩沖區(qū)溢出機制遠(yuǎn)程訪問和控制VF站。

*具有VF Station路由器管理權(quán)限的完全訪問權(quán)限

1.訪問客戶LAN（客戶環(huán)境-PC和本地網(wǎng)絡(luò)設(shè)備）;

2.在WAN端（VF網(wǎng)絡(luò)），獲取對網(wǎng)絡(luò)設(shè)備的非授權(quán)訪問，繞過標(biāo)準(zhǔn)遠(yuǎn)程訪問策略和過程（防火墻加上用戶/密碼和SecurId的強身份驗證）; 到目前為止，在這個領(lǐng)域尚未發(fā)現(xiàn)任何漏洞，但它仍然打開了一扇可能的門;

3.披露可用于惡意活動的VoIP憑證;

4.通過訪問閃存設(shè)備（通過MTD設(shè)備）以及垃圾郵件發(fā)送者，僵尸，僵尸網(wǎng)絡(luò)等的可能性，上傳修改過的（并且可能是惡意的）固件;

5.禁用TR069客戶端，這將阻止配置和固件更新。

Littlefair沒有回應(yīng)彭博社的評論請求，他強調(diào)Littlefair的文件凸顯出家庭路由器的后門可能會用于未經(jīng)授權(quán)存取消費者家中的兩個設(shè)備以及更廣泛的Vodafone 網(wǎng)絡(luò)。

沃達豐在給彭博的一份聲明中表示，這些漏洞只影響了路由器，與其存取，傳輸或核心網(wǎng)絡(luò)無關(guān)。沃達豐表示，攻擊者只能訪問設(shè)備本地的數(shù)據(jù)，而不能訪問任何其他用戶的數(shù)據(jù)。

彭博社的報道還顯示，沃達豐發(fā)現(xiàn)華為提供的部分光服務(wù)節(jié)點和寬帶網(wǎng)絡(luò)網(wǎng)關(guān)在意大利網(wǎng)絡(luò)存在漏洞。沃達豐表示，2012年BNG問題得到了解決，之后，OSN問題也得到了解決。

沃達豐和華為都表示，設(shè)備漏洞是一個全行業(yè)的問題。華為表示：“華為隱瞞設(shè)備后門的建議絕對沒有道理?！?/p>

在2011年的文件中，Littlefair對telnet后門如何進入路由器以及華為如何處理此問題表示擔(dān)憂：此時我們無法確切地說該事件意味著華為是惡意的（代表他們自己或其他人），無能（無法解決問題）或天真（試圖掩蓋他們無法解決的事實）。然而，鑒于他們最近幾個月從沃達豐那里得到了關(guān)注，華為在此情況下未自證并坦白一切很令人失望。不幸的是，華為的政治背景意味著這一事件將使他們在努力證明自己是一個誠實的供應(yīng)商時生活更加困難。

對于沃達豐發(fā)現(xiàn)指出的華為路由器的漏洞，5月2日，華為在一份聲明中否認(rèn)了其設(shè)備中有隱藏的后門，并表示相關(guān)報道具有誤導(dǎo)性。

華為在一份聲明中表示：“我們已經(jīng)意識到2011年和2012年的歷史漏洞，并且當(dāng)時已經(jīng)解決了這些漏洞。軟件漏洞是整個行業(yè)面臨的挑戰(zhàn)。像每個ICT供應(yīng)商一樣，我們都有完善的公告和補丁過程，當(dāng)發(fā)現(xiàn)漏洞時，我們會與合作伙伴密切合作，采取適當(dāng)?shù)募m正措施。”