US-Sicherheitsfirma entdeckt zahlreiche Sicherheitslücken in Netzwerkausrüstung von Huawei

Die amrerikanische IoT-Sicherheitsfirma Finite State hat die Firmware von Huaweis Netzwerkgeräten untersucht und dabei zahlreiche Sicherheitslücken entdeckt: „Es gibt deutliche Hinweise dafür, dass Zero-Day-Lücken, die auf Speicherfehlern basieren, in Huawei-Firmware reichlich vorhanden sind. Zusammengefasst, wenn man bekannte Anfälligkeiten, die einen Fernzugriff erlauben, und mögliche Hintertüren hinzuzählt, scheint es bei Huawei-Geräten ein hohes Risiko für eine Kompromittierung zu geben“, schreibt Finite State in seiner Studie (PDF).

Finite State will zudem herausgefunden haben, dass Huaweis öffentliche Bekenntnisse zur Verbesserung der Sicherheit seiner Produkte bisher keine Früchte tragen. Stattdessen habe sich die Situation verschlechtert. „Von einem technischen Standpunkt aus betrachtet, gehören die Huawei-Geräte zu den schlechtesten, die ich jemals analysiert habe“, so Finite State weiter.

Die Studie basiert nach Angaben des Unternehmens auf der Untersuchung von 1,5 Millionen Dateien aus 10.000 Firmware-Images, die von 558 Huawei-Enterprise-Netzwerk-Produkten stammen. In mehr als 55 Prozent der Firmware-Images fanden die Sicherheitsforscher mindestens eine kritische Sicherheitslücke. Dazu gehören voreingestellte Anmeldedaten, ein unsicherer Umgang mit kryptografischen Schlüsseln und Anzeichen für eine schlechte Softwareentwicklung.

Durchschnittlich fand Finite State 102 bekannte Schwachstellen in jedem Huawei-Firmware-Image, sowie Belege für Zero-Day-Lücken. Vor allem Open-Source-Komponenten wie OpenSSL würden nicht regelmäßig aktualisiert. Durchschnittlich seien die Open-Source-Komponenten mehr als fünf Jahre alt, Tausende Instanzen dieser Komponenten sollen es sogar auf mehr als zehn Jahre bringen. Die älteste OpenSSL-Version in einer Huawei-Firmware wurde bereits 1999 veröffentlicht.

Sicherheitslücken in Firmware sind allerdings kein Problem, das sich auf Huawei oder andere chinesische Firmen beschränkt. US-Firmen wie Cisco und Fortinet müssen regelmäßig schwerwiegende Schwachstellen in ihrer Gerätesoftware stopfen, die oftmals auch das Einschleusen und Ausführen von Schadcode aus der Ferne erlauben. 2016 mussten die beiden Firmen beispielsweise bestätigen, dass die Hacking-Tools Extrabacon und Epicbanana, die die ominöse Gruppe „Shadow Brokers“ der zur NSA gehörenden Equation Group gestohlen haben soll, Sicherheitslücken in ihren Produkten ausnutzen. In einer Sicherheitswarnung erklärte Cisco damals, es habe „sofort eine gründliche Untersuchung der veröffentlichten Dateien“ eingeleitet. Dabei seien zwei Fehler in den Cisco Adaptive Security Appliances (ASA) entdeckt worden. Ein Exploit nutze eine Zero-Day-Lücke aus, die es einem Angreifer erlaube, ohne Eingabe eines Benutzernamens und Passworts auf die Firewall zuzugreifen. Das erlaube es ihm zudem, beliebigen Schadcode auszuführen. Die andere Schwachstelle sei schon 2011 beseitigt worden.

Im Zuge der Snowden-Enthüllungen wurde außerdem bekannt, dass der US-Auslandsgeheimdienst National Security Agency (NSA) in Router, Server und andere Netzwerkgeräte, die in den USA hergestellt werden, Hintertüren einbaut. Demnach fängt die NSA die Geräte ab oder erhält sie, bevor sie exportiert werden. Die Unterlagen, die der Jorunalsit Glenn Greenwald auch für sein Buch über Edward Snowden mit dem Titel „No Place to Hide“ benutzt hat, stammen aus dem Jahr 2010. Darin wird beschrieben, wie die NSA in den USA produzierte Hardware abfängt, Überwachungswerkzeuge implementiert, sie neu verpackt und dann an die eigentlichen Empfänger im Ausland verschickt.