Amerikaans securitybedrijf vindt tal van kwetsbaarheden in Huawei-firmware

Huawei’s netwerkapparatuur bevat meer fouten waar hackers misbruik van kunnen maken, dan de hardware van concurrenten. Dat besluit de Amerikaanse IoT-securityspecialist Finite State na een uitgebreid onderzoek.

Finite State analyseerde meer dan 1,5 miljoen bestanden van 9.936 firmware-images voor 558 producten uit Huawei’s netwerkportfolio. De dataset beslaagt firmware van de afgelopen veertien jaar, tot en met april 2019.

“We hebben geconcludeerd dat Huawei-apparaten een zwakkere beveiligingshouding hebben dan andere merken, en er zijn aanzienlijke veiligheidsrisico’s verbonden aan het gebruik van deze apparaten”, zegt Matt Wyckhouse, CEO van Finite State, in een video waarin de bevindingen worden gepresenteerd.

Zo’n 55 procent van de Huawei-producten zou minstens één serieuze of kritieke kwetsbaarheid bevatten, die door een aanvaller kan worden misbruikt. Hoewel Finite State in zijn rapport over ‘mogelijke backdoors’ spreekt, wat opzettelijke sabotage impliceert, benadrukt het bedrijf dat het zich hier niet over uitspreekt. Het stelt dat een backdoor zowel intentioneel als niet-intentioneel kan zijn.

The Register merkt op dat het voornamelijk betrekking heeft op inloggegevens die hardcoded zijn en lekken die het uitvoeren van code vanop afstand mogelijk maken, om zo controle over de hardware te nemen. Ook kwetsbaarheden die alleen maar informatie vrijgeven, maar geen toegang mogelijk maken, kunnen evenwel in de telling worden opgenomen.

Opensource

De kwetsbaarheden zitten voornamelijk in code van opensourceprojecten en externe partijen, die Huawei gebruikt maar onvoldoende updatet. Zo ontdekte Finite State het gebruik van 79 verschillende OpenSSL-versies, waarvan de oudste uit 1999 dateert. De securityspecialist zegt dat het geen bewijs vond dat Huawei zijn beveiligingspatches naar oudere binaries backport.

Elk onderzocht firmware-image bevatte gemiddeld 102 gekende kwetsbaarheden, waarvan 27 procent wordt gelabeld als ernstig tot zeer ernstig. In extreme gevallen ontdekte Finite State zelfs meer dan 1.400 kwetsbaarheden in een image.

We dienen op dit punt op te merken dat geen enkele firmware 100 procent veilig is. Ook andere fabrikanten brengen producten op de markt die niet helemaal waterdicht zijn. Vraag maar aan Cisco. Het is de vraag hoe de firmware van andere leveranciers zou scoren op vergelijkbare doorgedreven en geautomatiseerde tests. Het rapport van Finite State beweert evenwel dat het aantal vastgestelde kwetsbaarheden bij Huawei volgens elke standaard hoog ligt.

Onveilig codeerwerk

Finite State stelde ook vast dat er te weinig gebruik wordt gemaakt van veilige codeermechanismen. Bij ongeveer 35 procent van de binaries was address space layout randomization (ASLR) ingeschakeld, ongeveer 12 procent had relocation read only (RELRO) geïmplementeerd, bij 74 procent wat data execution prevention (DEP) ingeschakeld en zo’n 27 procent maakte gebruik van StackGuard om te beschermen tegen stack-buffer overflows.

Het bedrijf zocht ook naar veilige functies die beschermen tegen geheugencorruptie, maar vond die slechts in 17 procent van de aanwezige functies in de firmware. “Op basis van de alomtegenwoordigheid van deze veilige coderingskwetsbaarheden in enterprise- en consumentenapparatuur geproduceerd door Huawei, kunnen we definitief concluderen dat Huawei, als organisatie, geen veilige codeerprincipes toepast”, besluit het rapport.

Huawei onder een loep

De realiteit is dat de apparatuur van Huawei vandaag meer dan eender welke andere fabrikant onder een vergrootglas wordt gehouden, vanwege spionageverdenkingen vanuit de Verenigde Staten. Tot nu toe is daar nog steeds geen concreet bewijs voor op tafgel gelegd, maar het heeft er wel toe geleid dat Huawei in een aantal landen verbannen is uit nationale 5G-netwerken, terwijl andere landen Huawei-specifieke verificatiecentra hebben opgericht om de hardware van het Chinese bedrijf te onderzoeken.

Afgelopen maart gaf het Britse Huawei Cyber Security Evaluation Centre (HCSEC) de fabrikant nog een uitbrander omdat serieuze kwetsbaarheden in zijn apparatuur een jaar na ontdekking nog steeds aanwezig waren.

Huawei zelf heeft bij meerdere gelegenheden laten verstaan dat het al het nodige zal doen om securitybezwaren rond zijn 5G-hardware weg te werken en kondigde een investering van 2 miljard dollar aan voor het uitbouwen van securiy-competenties. In eigen land opende Huawei een Brusselse hub voor cyberveiligheid en transparantie. Daar nodigt het operatoren, bedrijven en technische experts uit om zijn hardware te komen testen.