华为固件分析揭示安全问题

Finite State发布了一份安全报告，通过二进制分析揭示了华为固件中的一系列漏洞。华为对此报告进行了部分反驳，而Finite State则坚持其分析结果。该分析覆盖了558台设备中的9,936个固件镜像，时间跨度为18个月，并对市场竞争对手进行了类似分析作为对照。

内存保护问题：
- 华为固件中使用memcpy替代memcpy_s，移除了缓冲区溢出保护。
- 仅有约三分之一的固件使用了地址空间布局随机化（ASLR）来防御内存攻击。
其他安全问题：
- 内存损坏漏洞。
- 默认凭证和硬编码的公共加密密钥。
- 使用不安全的过时组件。
加密密钥问题：
- SSH authorized_keys文件中存在硬编码的加密密钥，便于远程访问。

Finite State使用了包含45个集成工具的二进制分析引擎，常用工具包括NSA Ghidra、Binary Ninja和Radare2。

报告对比了华为CE12800、Juniper EX4650和Arista 7820R的安全分析。华为固件是唯一存在硬编码凭证和加密密钥的设备，并且内存损坏问题最多。

英国华为网络安全评估中心（HCSEC）发布了类似的安全报告。Finite State的分析显示，更新固件后，用户的安全状况反而变得更差，主要风险来自加密密钥和内存损坏问题。

华为发布声明反驳了Finite State报告中的部分发现，但未回应HCSEC的发现。华为指出，Finite State未将主要竞争对手Cisco列入对比列表，且部分分析的固件已过时。华为还表示，Finite State的二进制分析工具无法识别其设备中的重大漏洞。

Finite State坚持其原始报告，并指出最有效的防御措施是避免硬编码加密密钥。他们还指出，HCSEC的源代码审查无法确保代码与实际构建的软件完全一致。

华为讨论了其最近20亿美元的安全承诺，并呼吁对所有设备供应商的产品进行独立的第三方测试，采用国际认可的标准，如NIST 800-53、ITU Study Group 17和ISO 27000系列。其他独立组织如Cyber ITL也可对软件进行安全分析。