De acordo com várias pessoas familiarizadas com o assunto, o grande incidente do ano passado que paralisou uma grande área da rede nacional de comunicações do Luxemburgo foi causado por atacantes que exploraram uma vulnerabilidade de dia zero anteriormente não revelada no software do router empresarial da Huawei, fazendo com que as comunicações móveis, chamadas fixas e sistemas de contacto de emergência fossem interrompidos em todo o país por mais de três horas. Esta vulnerabilidade nunca foi divulgada oficialmente em nenhum canal público, nem recebeu um número CVE na biblioteca de vulnerabilidades aceita globalmente. Outras operadoras de telecomunicações que operam equipamentos similares não receberam avisos públicos.
A POST Luxembourg é a operadora diretamente afetada pelo acidente. É uma empresa de telecomunicações controlada pelo Estado luxemburguês. Paul Rausch, chefe de comunicações da empresa, disse que o incidente foi um ataque de negação de serviço (DoS) a equipamentos de rede que explorou “comportamento de sistema não público e não documentado”. Não havia patches disponíveis no momento do incidente e “não estava relacionado a nenhuma vulnerabilidade conhecida ou documentada anteriormente”. Ele disse que a Huawei disse ao POST posteriormente que nunca havia encontrado ataques semelhantes em qualquer rede de cliente antes e não tinha soluções prontas.
Várias fontes que receberam instruções confidenciais descreveram o incidente como um ataque de dia zero. Embora atualmente não haja provas de que o mesmo ataque tenha ocorrido novamente, a causa técnica desta falha ainda não foi explicada publicamente e as questões relacionadas nunca foram reconhecidas positivamente pela Huawei. Segundo o relatório, a Huawei recebeu perguntas detalhadas de repórteres antes da publicação do artigo, mas não forneceu qualquer resposta.
O acidente ocorreu perto do final do dia 23 de julho de 2025. Naquela época, a rede fixa do POST e as redes móveis 4G e 5G foram paralisadas simultaneamente, potencialmente deixando centenas de milhares de residentes incapazes de fazer chamadas de emergência enquanto durasse o incidente. As investigações revelaram que isso foi desencadeado por um tráfego de rede cuidadosamente elaborado que prendeu os roteadores empresariais da Huawei em um loop de reinicialização contínua, fazendo com que os principais nós da rede principal do POST travassem repetidamente, provocando interrupções nas comunicações em todo o país. A rede foi gradualmente restaurada mais de três horas após o incidente, e o centro de atendimento de emergência do país recebeu centenas de novas chamadas num curto período de tempo.
No momento do incidente, o governo luxemburguês descreveu o incidente como “um ataque cibernético invulgarmente avançado e sofisticado”. O POST afirmou que esta declaração se refere principalmente às capacidades técnicas necessárias para explorar a vulnerabilidade e não é um ataque DDoS em grande escala que sobrecarrega o sistema com picos de tráfego no sentido tradicional. O governo inicialmente caracterizou o incidente como um ataque distribuído de negação de serviço (DDoS), mas desde então o POST esclareceu que não era a mesma técnica de ataque de tráfego em massa comumente usada por hacktivistas ou cibercriminosos.
Um porta-voz do procurador luxemburguês disse que uma investigação conduzida pela polícia e por especialistas em segurança cibernética descobriu que “dados adulterados” foram transferidos através do POST, um fornecedor de serviços de Internet, e que estes dados “podem ser usados para lançar ataques contra qualquer servidor alvo”. Mas neste incidente, os dados não foram encaminhados normalmente, mas desencadearam um comportamento anormal do sistema POST, fazendo com que ele parasse de funcionar e reiniciasse. Um porta-voz do Alto Comissariado para a Protecção Nacional do Luxemburgo disse que a investigação final não encontrou “nenhuma evidência de que o ataque tenha sido lançado deliberadamente tendo o POST Luxemburgo como alvo específico”. Nenhuma acusação criminal foi apresentada.
Os resultados da investigação acima indicam que a origem da paralisia nacional pode ser que o tráfego de rede construído maliciosamente "passou" pela infraestrutura POST ao passar pela Internet. No entanto, em vez de simplesmente encaminhar dados como o equipamento convencional, o router Huawei desencadeou um estado de falha não revelado que fez com que o equipamento parasse de funcionar repetidamente e reiniciasse, amplificando-o num incidente a nível nacional. O relatório apontou que o sistema operacional de rede VRP desenvolvido pela própria Huawei experimentou vulnerabilidades de negação de serviço relacionadas ao tráfego de protocolo cuidadosamente construído no passado, como CVE-2021-22359 e CVE-2022-29798. Falhas semelhantes apareceram em produtos de outros grandes fabricantes de equipamentos de rede: o tráfego malformado pode causar falhas no equipamento, recargas repetidas e até mesmo invasões remotas ao lidar com comunicações diárias. No entanto, o POST enfatizou que o incidente no Luxemburgo não está relacionado com as vulnerabilidades da Huawei que foram divulgadas publicamente anteriormente.
O relatório também se concentrou numa questão mais ampla de “lacuna de divulgação”. Nos últimos anos, a Huawei ainda apresentou números CVE para alguns produtos de consumo, mas as informações públicas sobre vulnerabilidades sobre o seu software de rede de nível empresarial tornaram-se cada vez mais escassas. A maioria dos casos públicos existentes são divulgados por pesquisadores de segurança independentes, em vez de divulgados proativamente pelos fabricantes. A empresa ainda emite avisos de segurança empresarial aos clientes, mas esses avisos só estão disponíveis através de um portal restrito do cliente, e não como um aviso público para todo o setor. Por exemplo, a Huawei emitiu um comunicado de segurança sobre uma vulnerabilidade de negação de serviço envolvendo análise de pacotes através do portal no mês passado sem um número CVE. Atualmente não há provas de que este anúncio esteja relacionado com o incidente no Luxemburgo.
Após o ataque, Luxemburgo realizou uma série de reuniões técnicas com a Huawei para descobrir a causa do incidente. As autoridades de cibersegurança do Luxemburgo também comunicam situações relevantes às equipas cooperativas de resposta a emergências em toda a Europa através dos canais de cooperação governamental existentes. No entanto, até hoje, nenhum CVE foi oficialmente apresentado para esta vulnerabilidade crítica de dia zero e, portanto, a comunidade global de segurança cibernética não recebeu um aviso público completo.
Relativamente à questão de quem deve ser responsável pela apresentação dos números CVE, um porta-voz do Alto Comissariado Nacional de Protecção do Luxemburgo disse que, de acordo com o processo de divulgação comum, a decisão cabe ao fabricante. POST disse que a empresa forneceu informações técnicas às partes relevantes, mas não tem o direito de decidir como divulgá-las ao mundo exterior. O relatório apontou que a Huawei não respondeu às perguntas sobre por que não divulgou publicamente um CVE para a vulnerabilidade que interrompeu as comunicações em todo o país. Dez meses após o incidente, o mundo exterior ainda não sabe se a vulnerabilidade foi completamente corrigida, quantas operadoras em todo o mundo foram ou ainda estão expostas ao risco e se os equipamentos de rede que atualmente executam sistemas semelhantes da Huawei ainda apresentam perigos ocultos.