Nach Angaben mehrerer mit der Angelegenheit vertrauter Personen wurde der schwerwiegende Vorfall im vergangenen Jahr, der einen großen Bereich des nationalen Kommunikationsnetzes Luxemburgs lahmlegte, dadurch verursacht, dass Angreifer eine zuvor nicht bekannt gegebene Zero-Day-Schwachstelle in Huaweis Enterprise-Router-Software ausnutzten, was dazu führte, dass die Mobilkommunikation, Festnetzanrufe und Notfallkontaktsysteme landesweit für mehr als drei Stunden unterbrochen wurden. Diese Sicherheitslücke wurde weder offiziell in einem öffentlichen Kanal bekannt gegeben, noch wurde ihr eine CVE-Nummer in der weltweit anerkannten Schwachstellenbibliothek zugewiesen. Andere Telekommunikationsbetreiber, die ähnliche Geräte betreiben, haben keine öffentlichen Warnungen erhalten.
POST Luxembourg ist der von dem Unfall direkt betroffene Betreiber. Es handelt sich um ein vom luxemburgischen Staat kontrolliertes Telekommunikationsunternehmen. Paul Rausch, Kommunikationschef des Unternehmens, sagte, bei dem Vorfall handele es sich um einen Denial-of-Service (DoS)-Angriff auf Netzwerkgeräte, der „nicht öffentliches, undokumentiertes Systemverhalten“ ausnutze. Zum Zeitpunkt des Vorfalls waren keine Patches verfügbar und es stand „nicht im Zusammenhang mit bekannten oder zuvor dokumentierten Schwachstellen“. Er sagte, Huawei habe POST anschließend erklärt, dass es noch nie zuvor auf ein Kundennetzwerk ähnliche Angriffe erlebt habe und keine vorgefertigten Lösungen habe.
Mehrere Quellen, die vertrauliche Informationen erhielten, beschrieben den Vorfall als einen Zero-Day-Angriff. Obwohl es derzeit keine Beweise dafür gibt, dass derselbe Angriff erneut stattgefunden hat, wurde die technische Ursache dieses Fehlers noch nicht öffentlich erklärt und die damit verbundenen Probleme wurden von Huawei nie positiv gewürdigt. Dem Bericht zufolge erhielt Huawei vor der Veröffentlichung des Artikels detaillierte Anfragen von Reportern, gab jedoch keine Antwort.
Der Unfall ereignete sich gegen Ende des Tages am 23. Juli 2025. Zu diesem Zeitpunkt waren das Festnetz sowie die 4G- und 5G-Mobilfunknetze von POST gleichzeitig lahmgelegt, sodass möglicherweise Hunderttausende Einwohner während der Dauer des Vorfalls keine Notrufe tätigen konnten. Untersuchungen ergaben, dass dies durch sorgfältig gestalteten Netzwerkverkehr ausgelöst wurde, der Huawei-Unternehmensrouter in einer kontinuierlichen Neustartschleife festhielt, wodurch wichtige Knoten im POST-Kernnetzwerk wiederholt abstürzten und landesweite Kommunikationsausfälle auslösten. Mehr als drei Stunden nach dem Vorfall wurde das Netz schrittweise wiederhergestellt und in der Notrufzentrale des Landes gingen in kurzer Zeit Hunderte neue Anrufe ein.
Zum Zeitpunkt des Vorfalls bezeichnete die luxemburgische Regierung den Vorfall als „einen ungewöhnlich fortgeschrittenen und raffinierten Cyberangriff“. POST gab an, dass sich diese Aussage hauptsächlich auf die technischen Fähigkeiten bezieht, die zum Ausnutzen der Schwachstelle erforderlich sind, und dass es sich nicht um einen groß angelegten DDoS-Angriff handelt, der das System mit Verkehrsspitzen im herkömmlichen Sinne überlastet. Die Regierung bezeichnete den Vorfall zunächst als DDoS-Angriff (Distributed Denial of Service), doch POST hat inzwischen klargestellt, dass es sich nicht um die gleiche Massenverkehrsangriffstechnik handelte, die üblicherweise von Hacktivisten oder Cyberkriminellen eingesetzt wird.
Ein Sprecher der luxemburgischen Staatsanwaltschaft sagte, eine von Polizei und Cybersicherheitsexperten durchgeführte Untersuchung habe ergeben, dass „manipulierte Daten“ über POST, einen Internetdienstanbieter, übertragen wurden und dass diese Daten „für Angriffe auf jeden Zielserver verwendet werden können“. Bei diesem Vorfall wurden die Daten jedoch nicht normal weitergeleitet, sondern lösten ein abnormales Verhalten des POST-Systems aus, das dazu führte, dass es nicht mehr funktionierte und neu gestartet wurde. Ein Sprecher der luxemburgischen Hochkommission für nationalen Schutz sagte, die abschließende Untersuchung habe „keine Beweise dafür gefunden, dass der Angriff absichtlich mit POST Luxembourg als spezifischem Ziel gestartet wurde“. Es wurden keine Strafanzeigen gestellt.
Die oben genannten Untersuchungsergebnisse deuten darauf hin, dass die Ursache der landesweiten Lähmung möglicherweise darin liegt, dass böswillig konstruierter Netzwerkverkehr bei der Durchquerung des Internets die POST-Infrastruktur „vorbeigeführt“ hat. Anstatt jedoch wie herkömmliche Geräte einfach Daten weiterzuleiten, löste der Huawei-Router einen unbekannten Fehlerzustand aus, der dazu führte, dass das Gerät wiederholt nicht mehr funktionierte und neu startete, was zu einem landesweiten Vorfall führte. Der Bericht wies darauf hin, dass Huaweis selbst entwickeltes VRP-Netzwerkbetriebssystem in der Vergangenheit Denial-of-Service-Schwachstellen im Zusammenhang mit sorgfältig konstruiertem Protokollverkehr aufwies, wie etwa CVE-2021-22359 und CVE-2022-29798. Ähnliche Mängel sind bei den Produkten anderer großer Hersteller von Netzwerkgeräten aufgetreten: Bei der täglichen Kommunikation kann fehlerhafter Datenverkehr zu Geräteabstürzen, wiederholtem Neuladen und sogar zu Einbrüchen aus der Ferne führen. POST betonte jedoch, dass der Vorfall in Luxemburg nicht mit den bereits öffentlich bekannt gewordenen Huawei-Schwachstellen zusammenhängt.
Der Bericht konzentrierte sich auch auf ein umfassenderes Thema der „Offenlegungslücke“. In den letzten Jahren hat Huawei immer noch CVE-Nummern für einige Verbraucherprodukte übermittelt, aber öffentliche Informationen zu Schwachstellen seiner Netzwerksoftware auf Unternehmensebene sind immer seltener geworden. Die meisten der bestehenden öffentlichen Fälle werden von unabhängigen Sicherheitsforschern offengelegt und nicht proaktiv von Herstellern veröffentlicht. Das Unternehmen gibt seinen Kunden immer noch Unternehmenssicherheitshinweise heraus, diese sind jedoch nur über ein eingeschränktes Kundenportal und nicht als branchenweite öffentliche Empfehlung verfügbar. Huawei hat beispielsweise letzten Monat eine Sicherheitswarnung zu einer Denial-of-Service-Schwachstelle herausgegeben, bei der es um das Parsen von Paketen über das Portal ohne CVE-Nummer geht. Derzeit gibt es keine Hinweise darauf, dass diese Ankündigung mit dem Vorfall in Luxemburg in Zusammenhang steht.
Nach dem Angriff hielt Luxemburg eine Reihe technischer Treffen mit Huawei ab, um die Ursache des Vorfalls herauszufinden. Die luxemburgischen Cybersicherheitsbehörden kommunizieren relevante Situationen auch über bestehende staatliche Kooperationskanäle an kooperative Notfallteams in ganz Europa. Allerdings wurde bis heute kein offizieller CVE für diese kritische Zero-Day-Schwachstelle eingereicht und die globale Cybersicherheitsgemeinschaft hat daher keine umfassende öffentliche Warnung erhalten.
Zur Frage, wer für die Übermittlung von CVE-Nummern verantwortlich sein sollte, sagte ein Sprecher der Luxemburger Nationalen Hochkommission für Schutz, dass nach dem gemeinsamen Offenlegungsverfahren die Entscheidung beim Hersteller liege. POST sagte, dass das Unternehmen den relevanten Parteien technische Informationen zur Verfügung gestellt habe, aber nicht das Recht habe, zu entscheiden, wie es diese an die Außenwelt weitergibt. In dem Bericht wurde darauf hingewiesen, dass Huawei nicht auf Anfragen geantwortet habe, warum es nicht öffentlich einen CVE für die Sicherheitslücke veröffentlicht habe, die die Kommunikation im ganzen Land gestört habe. Zehn Monate nach dem Vorfall weiß die Außenwelt immer noch nicht, ob die Schwachstelle vollständig behoben wurde, wie viele Betreiber auf der ganzen Welt dem Risiko ausgesetzt waren oder noch sind und ob Netzwerkgeräte, auf denen derzeit ähnliche Huawei-Systeme laufen, noch immer versteckte Gefahren bergen.