Swascan onthult kwetsbaarheden bij Huawei

11-07-2019 | door: Redactie

Swascan onthult kwetsbaarheden bij Huawei

Swascan heeft webkwetsbaarheden in Huawei ontdekt en gepubliceerd. Huawei zelf is nogal mondjesmaat over de kwetsbaarheden.

Swascan, een Italiaans cyberbeveiligingsbedrijf dat dankzij zijn onderzoeksteam al in staat was geweest om de kwetsbaarheden van Adobe  Microsoft en Lenovo te ontrafelen, bracht onlangs enkele kritieke problemen van Huawei's webtoepassingen en -servers aan het licht, de reus gespecialiseerd in de productie van systemen en oplossingen voor netwerken en telecommunicatie.

Swascan, opgericht door Raoul Chiesa en Pierguido Iezzi, is een cloudgebaseerde Cybersecurity Testing-platform waarmee de kwetsbaarheden van websites en informatie-infrastructuur kunnen worden geïdentificeerd, geanalyseerd en opgelost.

Analyse en remediëring
Door zorgvuldig werk hebben Swascan-experts een aantal kritieke problemen geïdentificeerd binnen de webtoepassingen van Huawei. De resulterende Responsible Vulnerability Disclosure bracht enkele kwetsbaarheden aan het licht die als belangrijk werden beoordeeld en die, als ze door Malicious Attackers of Cybercriminals werden misbruikt, de bedrijfscontinuïteit, gebruikersgegevens en informatiebeveiliging en de reguliere werking van hun services hadden kunnen beïnvloeden.

Na deze ontdekking nam Team Swascan contact op met hun Huawei-tegenhangers om hen te informeren over de gevonden kwetsbaarheden en om een ??samenwerking op te zetten voor de herstelwerkzaamheden die nodig zijn voor deze gebreken.

Sprekend over de noodzaak van samenwerking zei Pierguido Iezzi, medeoprichter van Swascan: "In de wereld van cyberbeveiliging komt het principe van samenwerking eindelijk tot stand. De risico's nemen elk jaar met een enorme marge toe en dit heeft een culturele en technologische Paradigmaverschuiving opgelegd. Onze ervaring met Huawei laat zien dat als deze waarden correct worden begrepen, dit een extra backbone kan zijn om een effectief en efficiënt Cyber Security Framework te creëren ".

Het is echter volgens The Register onduidelijk welke delen van de websystemen van de Chinese gigant gevaar liepen, welke soorten informatie zouden kunnen zijn gestolen of waarmee is geknoeid, welke gedeelten van de activiteiten van de fabrikant mogelijk zijn getroffen en of de gaten zijn misbruikt door indringers. Huawei heeft geweigerd om te reageren. Het is Swascan verboden om het verder te bespreken, waarschijnlijk onder een NDA als onderdeel van Huawei's procedures voor het openbaar maken van kwetsbaarheden.

Update 12 juli:

Huawei laat aan weten dat de ontdekte kwetsbaarheden enkel voorkwamen op interne websites, zoals een website waarmee werknemers bedrijfsreizen boeken. Het gaat niet om publieke systemen of software en toestellen van klanten. Het artikel is aangepast om dit te verduidelijken.

Daarnaast benadrukt het bedrijf dat het Swascan nooit gevraagd heeft om te zwijgen over de ontdekking.

Terug naar nieuws overzicht
Security