集微網(wǎng)消息，今（5）日，據(jù)彭博社消息，彭博社于4月30日發(fā)表的一篇報(bào)道顯示，沃達(dá)豐集團(tuán)公司幾年前發(fā)現(xiàn)了華為提供的設(shè)備存在的安全漏洞。這篇文章基于彭博社獲得的文件以及與熟悉情況的人士交談。

以下是其中一份文件的摘錄。

該文件是華為向沃達(dá)豐意大利業(yè)務(wù)供應(yīng)的家用路由器中發(fā)現(xiàn)telnet后門后于2011年4月發(fā)布。這兩家公司均表示路由器問(wèn)題與開發(fā)后無(wú)法刪除的維護(hù)和診斷功能有關(guān)，在2011年稍晚時(shí)已解決。

在該文件中，沃達(dá)豐當(dāng)時(shí)的首席信息安全官Bryan Littlefair概述了沃達(dá)豐如何發(fā)現(xiàn)telnet服務(wù)，要求華為將其刪除，并得到供應(yīng)商保證問(wèn)題得到解決。經(jīng)過(guò)進(jìn)一步測(cè)試，沃達(dá)豐發(fā)現(xiàn)telnet服務(wù)仍然可以在稱為沃達(dá)豐站的路由器中啟動(dòng)。以下是Littlefair對(duì)情況的評(píng)估：

華為是否已在自己的軟件中構(gòu)建telnet功能或使用其他公司的操作系統(tǒng)（VxWorks）還有待澄清。一個(gè)意見是，華為不知道如何改變VX Works的配置，這在孤立的情況下是合理的。考慮到華為很了解Vodafone的擔(dān)憂，華為試圖掩蓋telnet后門的舉動(dòng)反而引發(fā)更大擔(dān)憂。

下面，Littlefair列出了與后門相關(guān)的感知風(fēng)險(xiǎn)：

設(shè)想的風(fēng)險(xiǎn)

這些安全漏洞帶來(lái)的主要風(fēng)險(xiǎn)是：

*利用緩沖區(qū)溢出機(jī)制遠(yuǎn)程訪問(wèn)和控制VF站。

*具有VF Station路由器管理權(quán)限的完全訪問(wèn)權(quán)限

1.訪問(wèn)客戶LAN（客戶環(huán)境-PC和本地網(wǎng)絡(luò)設(shè)備）;

2.在WAN端（VF網(wǎng)絡(luò)），獲取對(duì)網(wǎng)絡(luò)設(shè)備的非授權(quán)訪問(wèn)，繞過(guò)標(biāo)準(zhǔn)遠(yuǎn)程訪問(wèn)策略和過(guò)程（防火墻加上用戶/密碼和SecurId的強(qiáng)身份驗(yàn)證）; 到目前為止，在這個(gè)領(lǐng)域尚未發(fā)現(xiàn)任何漏洞，但它仍然打開了一扇可能的門;

3.披露可用于惡意活動(dòng)的VoIP憑證;

4.通過(guò)訪問(wèn)閃存設(shè)備（通過(guò)MTD設(shè)備）以及垃圾郵件發(fā)送者，僵尸，僵尸網(wǎng)絡(luò)等的可能性，上傳修改過(guò)的（并且可能是惡意的）固件;

5.禁用TR069客戶端，這將阻止配置和固件更新。

Littlefair沒有回應(yīng)彭博社的評(píng)論請(qǐng)求，他強(qiáng)調(diào)Littlefair的文件凸顯出家庭路由器的后門可能會(huì)用于未經(jīng)授權(quán)存取消費(fèi)者家中的兩個(gè)設(shè)備以及更廣泛的Vodafone 網(wǎng)絡(luò)。

沃達(dá)豐在給彭博的一份聲明中表示，這些漏洞只影響了路由器，與其存取，傳輸或核心網(wǎng)絡(luò)無(wú)關(guān)。沃達(dá)豐表示，攻擊者只能訪問(wèn)設(shè)備本地的數(shù)據(jù)，而不能訪問(wèn)任何其他用戶的數(shù)據(jù)。

彭博社的報(bào)道還顯示，沃達(dá)豐發(fā)現(xiàn)華為提供的部分光服務(wù)節(jié)點(diǎn)和寬帶網(wǎng)絡(luò)網(wǎng)關(guān)在意大利網(wǎng)絡(luò)存在漏洞。沃達(dá)豐表示，2012年BNG問(wèn)題得到了解決，之后，OSN問(wèn)題也得到了解決。

沃達(dá)豐和華為都表示，設(shè)備漏洞是一個(gè)全行業(yè)的問(wèn)題。華為表示：“華為隱瞞設(shè)備后門的建議絕對(duì)沒有道理。”

在2011年的文件中，Littlefair對(duì)telnet后門如何進(jìn)入路由器以及華為如何處理此問(wèn)題表示擔(dān)憂：此時(shí)我們無(wú)法確切地說(shuō)該事件意味著華為是惡意的（代表他們自己或其他人），無(wú)能（無(wú)法解決問(wèn)題）或天真（試圖掩蓋他們無(wú)法解決的事實(shí)）。鑒于他們最近幾個(gè)月從沃達(dá)豐那里得到了關(guān)注，華為在此情況下未自證并坦白一切很令人失望。不幸的是，華為的政治背景意味著這一事件將使他們?cè)谂ψC明自己是一個(gè)誠(chéng)實(shí)的供應(yīng)商時(shí)生活更加困難。

對(duì)于沃達(dá)豐發(fā)現(xiàn)指出的華為路由器的漏洞，5月2日，華為在一份聲明中否認(rèn)了其設(shè)備中有隱藏的后門，并表示相關(guān)報(bào)道具有誤導(dǎo)性。

華為在一份聲明中表示：“我們已經(jīng)意識(shí)到2011年和2012年的歷史漏洞，并且當(dāng)時(shí)已經(jīng)解決了這些漏洞。軟件漏洞是整個(gè)行業(yè)面臨的挑戰(zhàn)。像每個(gè)ICT供應(yīng)商一樣，我們都有完善的公告和補(bǔ)丁過(guò)程，當(dāng)發(fā)現(xiàn)漏洞時(shí)，我們會(huì)與合作伙伴密切合作，采取適當(dāng)?shù)募m正措施。”（校對(duì)/jimmy）