Huaweiエンタープライズルータソフトウェアの未知の脆弱性を悪用した攻撃により、昨年ルクセンブルクで全国的な通信障害が発生した。複数の関係者によると、この攻撃により3時間以上にわたってモバイル、固定電話、および緊急通信が遮断された。
この脆弱性は公開されたことがない。インシデント発生から10ヶ月が経過した現在、CVE識別子(サイバーセキュリティ専門家が世界中でソフトウェアの欠陥を追跡し、システムを保護するために使用される)はいかなる公開データベースにも登録されておらず、同じ機器を運用している他のオペレータへの公開警告も発行されていない。
ネットワーク障害が発生したルクセンブルクの国営オペレータであるPOST Luxembourgの通信責任者ポール・ラウシュ氏は、このインシデントはネットワークデバイスを標的とした「サービス妨害」(DoS)攻撃であったと述べた。同氏は、この攻撃が「当時利用可能なパッチがない、非公開で文書化されていない動作」を利用したものであり、「既知のまたは以前に文書化された脆弱性の悪用とは関連がない」ことを確認した。
ラウシュ氏は、Huaweiがこの攻撃を顧客のいずれでも遭遇したことがなく、既製のソリューションを持っていないとPOSTに告知したと述べた。
機密のブリーフィングについて議論する条件で匿名で話した複数の関係者は、このインシデントをゼロデイ攻撃として説明した。このインシデントが再発した証拠はないが、欠陥は依然として説明されておらず、企業によって公開されていない。
Huaweiは公開前にRecorded Future Newsから詳細な質問を受けたが、回答声明を提供しなかった。
障害発生
インシデントは2025年7月23日の営業日終了時に始まった。POSTの固定電話、4Gおよび5Gモバイルネットワークが機能しなくなり、潜在的に数十万人の住民が緊急サービスに連絡できなくなった。
これは、Huaweiエンタープライズルータを継続的な再起動ループに陥らせ、POSTのインフラの重要部分を破壊する特別に細工されたネットワークトラフィックによって引き起こされた。3時間以上後に接続性が復旧されたとき、国の緊急通報センターは数百件の追加通報を受け取った。
当時、ルクセンブルク政府はこのインシデントを「例外的に高度で洗練されたサイバー攻撃」と説明した。POSTは、その説明が脆弱性を悪用するために必要な専門知識を指していると述べた。
政府は当初、このインシデントをDDoS攻撃として説明し、POSTは後にそれがハクティビストおよびサイバー犯罪者によってしばしば使用される容積型のDDoS攻撃ではないことを明確にした。
国の検察官は、警察およびサイバーセキュリティ専門家による調査により、「ランダムサーバへの攻撃を準備するために使用される可能性のある破損したデータが、インターネットサービスプロバイダとしての役割で機能しているPOST Luxembourgを通じて中継され、データを単に中継する代わりに、システムが停止して再起動させられた」ことが確認されたと述べた。
しかし、調査官は最終的に、「POST Luxembourgが選択されたターゲットとして特別に攻撃が指向されたという証拠はない」と結論付けた。これはRecorded Future Newsに対するルクセンブルク国防委員会の報道官の発表である。刑事告発は提出されていない。
この調査結果は、障害がPOSTのインフラを単に通過する悪意のあるネットワークトラフィックによってトリガーされた可能性があることを示唆している。データを転送する代わりに、Huaweiルータは、データを繰り返し停止および再起動させる未文書化の障害条件に遭遇したようである。
HuaweiのVRPネットワークオペレーティングシステムは以前、特別に細工されたプロトコルトラフィックを含むサービス妨害脆弱性の影響を受けています。これには CVE-2021-22359および CVE-2022-29798が含まれます。同様の欠陥は他の主要なネットワーキングプラットフォームにも影響を与えており、不正な形式のネットワークトラフィックが、日常的な通信を処理しているシステムでの崩壊、再ロード、またはリモートコンプロミズをトリガーする可能性があります。
POSTは、以前に公開されたHuaweiのいずれの脆弱性もルクセンブルクのインシデントに関与していないと述べた。
開示ギャップ
Huaweiはコンシューマ製品の場合定期的にCVEを申告していますが、エンタープライズネットワーキングソフトウェアの脆弱性を含む公開開示は、近年では稀になっており、公開されているケースの多くは独立したセキュリティ研究者から発信しています。
同社は依然としてエンタープライズセキュリティ勧告を公開していますが、広範な公開勧告ではなく、制限付きカスタマーポータルを通じて公開しています。先月公開されたそのような勧告の1つは、パケット解析を含むサービス妨害脆弱性を説明していました。CVE識別子も含まれていませんでした。この勧告がルクセンブルクのインシデントに関連していた証拠はありません。
攻撃後、ルクセンブルク当局とHuaweiは何が起こったかを理解するための一連の技術会議を開催した。これは国防委員会報道官のアンヌ・ユング氏によると。
ルクセンブルクのサイバーセキュリティ当局はまた、確立された政府チャネルを通じてヨーロッパ全体のパートナーインシデント対応チームに警告を発した。しかし、コミュニティ全体に警告するためのCVEは決して申告されなかった。
CVEを発行する責任が誰にあるかについて質問されたとき、ユング氏は、その決定は標準開示手順に基づいてベンダーにあると述べた。POSTは別個にRecorded Future Newsに、技術情報を提供したが開示決定を制御しなかったと述べた。
Huaweiは、ルクセンブルクの全国的な通信障害を引き起こした脆弱性に対して公開CVEが発行されなかった理由についての質問に応答しなかった。10ヶ月後、脆弱性が完全にパッチされたかどうか、多くのオペレータが危険にさらされているかどうか、または同様のHuaweiシステムが今日も脆弱なままであるかどうかは依然として不明である。
翻訳元: https://therecord.media/huawei-zero-day-behind-last-year-luxembourg-telecom-outage
