وفقًا للعديد من الأشخاص المطلعين على الأمر، فإن الحادث الكبير الذي وقع العام الماضي والذي أدى إلى شل مساحة كبيرة من شبكة الاتصالات الوطنية في لوكسمبورغ كان سببه استغلال مهاجمين لثغرة أمنية لم يتم الكشف عنها سابقًا في برنامج توجيه المؤسسات الخاص بشركة Huawei، مما تسبب في تعطيل الاتصالات المحمولة ومكالمات الخطوط الأرضية وأنظمة الاتصال في حالات الطوارئ على مستوى البلاد لأكثر من ثلاث ساعات. لم يتم الكشف رسميًا عن هذه الثغرة الأمنية في أي قناة عامة، ولم يتم تعيين رقم CVE لها في مكتبة الثغرات المقبولة عالميًا. ولم يتلق مشغلو الاتصالات الآخرون الذين يقومون بتشغيل معدات مماثلة تحذيرات عامة.
POST Luxembourg هو المشغل المتأثر بشكل مباشر بالحادث. وهي شركة اتصالات تسيطر عليها ولاية لوكسمبورغ. وقال بول راوش، رئيس الاتصالات بالشركة، إن الحادث كان بمثابة هجوم لرفض الخدمة (DoS) على معدات الشبكة التي استغلت "سلوك النظام غير العام وغير الموثق". ولم تكن هناك تصحيحات متاحة في وقت وقوع الحادث، ولم يكن الأمر "متعلقًا بأي ثغرات أمنية معروفة أو موثقة مسبقًا". وقال إن هواوي أخبرت POST بعد ذلك أنها لم تواجه مطلقًا هجمات مماثلة على أي شبكة عملاء من قبل وليس لديها حلول جاهزة.
ووصفت مصادر متعددة تلقت إحاطات سرية الحادث بأنه هجوم اليوم صفر. على الرغم من عدم وجود أي دليل حاليًا على حدوث نفس الهجوم مرة أخرى، إلا أن السبب الفني لهذا الخلل لم يتم توضيحه علنًا بعد، ولم يتم الاعتراف بشكل إيجابي بالمشكلات ذات الصلة من قبل شركة Huawei. وبحسب التقرير، تلقت هواوي استفسارات مفصلة من المراسلين قبل نشر المقال، لكنها لم تقدم أي رد.
وقع الحادث قرب نهاية يوم 23 يوليو 2025. في ذلك الوقت، أصيبت شبكة الخطوط الأرضية وشبكات الهاتف المحمول 4G و5G التابعة لشركة POST بالشلل في نفس الوقت، مما قد يؤدي إلى ترك مئات الآلاف من السكان غير قادرين على إجراء مكالمات الطوارئ أثناء استمرار الحادث. وكشفت التحقيقات أن هذا قد نتج عن حركة مرور الشبكة المصممة بعناية والتي حاصرت أجهزة التوجيه الخاصة بشركة Huawei في حلقة إعادة تشغيل مستمرة، مما تسبب في تعطل العقد الرئيسية في شبكة POST الأساسية بشكل متكرر، مما أدى إلى انقطاع الاتصالات على مستوى البلاد. وتمت استعادة الشبكة تدريجياً بعد مرور أكثر من ثلاث ساعات على الحادث، كما تلقى مركز اتصال الطوارئ في البلاد مئات المكالمات الجديدة خلال فترة زمنية قصيرة.
وفي وقت وقوع الحادث، وصفت حكومة لوكسمبورغ الحادث بأنه "هجوم سيبراني متقدم ومتطور بشكل غير عادي". وذكرت POST أن هذا البيان يشير بشكل أساسي إلى القدرات التقنية المطلوبة لاستغلال الثغرة الأمنية، وليس هجوم DDoS واسع النطاق الذي يطغى على النظام بذروة حركة المرور بالمعنى التقليدي. وصفت الحكومة الحادث في البداية بأنه هجوم حجب الخدمة الموزع (DDoS)، لكن POST أوضحت منذ ذلك الحين أنه لم يكن نفس أسلوب الهجوم المروري الجماعي الذي يستخدمه عادةً المتسللون أو مجرمون الإنترنت.
وقال متحدث باسم المدعي العام في لوكسمبورغ إن التحقيق الذي أجرته الشرطة وخبراء الأمن السيبراني وجد أن "البيانات التي تم التلاعب بها" تم نقلها عبر POST، مزود خدمة الإنترنت، وأن هذه البيانات "يمكن استخدامها لشن هجمات ضد أي خادم مستهدف". ولكن في هذه الحادثة، لم يتم إعادة توجيه البيانات بشكل طبيعي، ولكنها أدت إلى سلوك غير طبيعي لنظام POST، مما أدى إلى توقفه عن العمل وإعادة تشغيله. وقال متحدث باسم المفوضية العليا للحماية الوطنية في لوكسمبورغ إن التحقيق النهائي لم يتوصل إلى "أي دليل على أن الهجوم تم شنه عمدا مع تحديد موقع POST Luxembourg كهدف محدد". لم يتم توجيه أي تهم جنائية.
تشير نتائج التحقيق المذكورة أعلاه إلى أن مصدر الشلل على مستوى البلاد قد يكون أن حركة مرور الشبكة التي تم إنشاؤها بشكل ضار "اجتازت" البنية التحتية لـ POST عند المرور عبر الإنترنت. ومع ذلك، بدلاً من مجرد إعادة توجيه البيانات مثل المعدات التقليدية، تسبب جهاز التوجيه الخاص بشركة Huawei في حدوث حالة خطأ غير معلنة تسببت في توقف المعدات عن العمل بشكل متكرر وإعادة تشغيلها، مما أدى إلى تضخيمها إلى حادث على مستوى البلاد. وأشار التقرير إلى أن نظام تشغيل شبكة VRP الذي طورته شركة Huawei ذاتيًا قد واجه ثغرات أمنية في الخدمة تتعلق بحركة مرور البروتوكول المصممة بعناية في الماضي، مثل CVE-2021-22359 وCVE-2022-29798. ظهرت عيوب مماثلة في منتجات الشركات المصنعة الكبيرة الأخرى لمعدات الشبكات: يمكن أن تتسبب حركة المرور المشوهة في تعطل المعدات، وإعادة التحميل المتكررة، وحتى التطفل عن بعد عند التعامل مع الاتصالات اليومية. ومع ذلك، أكد POST أن حادثة لوكسمبورغ لا علاقة لها بنقاط الضعف الخاصة بشركة Huawei التي تم الكشف عنها علنًا من قبل.
وركز التقرير أيضًا على قضية "فجوة الإفصاح" الأوسع. في السنوات الأخيرة، لا تزال هواوي تقدم أرقام CVE لبعض المنتجات الاستهلاكية، لكن معلومات الضعف العام حول برامج الشبكة على مستوى المؤسسة أصبحت نادرة بشكل متزايد. يتم الكشف عن معظم الحالات العامة الحالية من قبل باحثين أمنيين مستقلين بدلاً من إصدارها بشكل استباقي من قبل الشركات المصنعة. لا تزال الشركة تصدر تحذيرات أمنية مؤسسية للعملاء، ولكن هذه النصائح متاحة فقط من خلال بوابة عملاء مقيدة وليس باعتبارها استشارية عامة على مستوى الصناعة. على سبيل المثال، أصدرت شركة Huawei استشارة أمنية بشأن ثغرة أمنية في رفض الخدمة تتضمن تحليل الحزم عبر البوابة الشهر الماضي دون رقم CVE. لا يوجد حاليًا أي دليل على أن هذا الإعلان مرتبط بحادثة لوكسمبورغ.
وبعد الهجوم، عقدت لوكسمبورغ سلسلة من الاجتماعات الفنية مع هواوي لمعرفة سبب الحادث. تقوم سلطات الأمن السيبراني في لوكسمبورغ أيضًا بإبلاغ المواقف ذات الصلة إلى فرق الاستجابة التعاونية للطوارئ في جميع أنحاء أوروبا من خلال قنوات التعاون الحكومية الحالية. ومع ذلك، حتى يومنا هذا، لم يتم تقديم أي برنامج مكافحة التطرف العنيف رسميًا بخصوص ثغرة يوم الصفر الحرجة هذه، وبالتالي لم يتلق مجتمع الأمن السيبراني العالمي تحذيرًا عامًا كاملاً.
وفيما يتعلق بمسألة من يجب أن يكون مسؤولاً عن تقديم أرقام مكافحة التطرف العنيف، قال متحدث باسم المفوضية الوطنية العليا للحماية في لوكسمبورغ إنه وفقًا لعملية الكشف المشتركة، فإن القرار يقع على عاتق الشركة المصنعة. وقالت POST إن الشركة قدمت معلومات فنية للأطراف المعنية، لكن ليس لها الحق في أن تقرر كيفية الكشف عنها للعالم الخارجي. وأشار التقرير إلى أن هواوي لم ترد على الاستفسارات حول سبب عدم إصدارها علنًا لـ CVE الخاص بالثغرة الأمنية التي عطلت الاتصالات في جميع أنحاء البلاد. وبعد مرور عشرة أشهر على الحادثة، لا يزال العالم الخارجي لا يعرف ما إذا كانت الثغرة الأمنية قد تم تصحيحها بالكامل، وعدد المشغلين حول العالم الذين تعرضوا أو ما زالوا معرضين للخطر، وما إذا كانت معدات الشبكة التي تعمل حاليًا بأنظمة هواوي المماثلة لا تزال بها مخاطر مخفية.