Volgens meerdere mensen die bekend zijn met de zaak, werd het grote incident van vorig jaar, dat een groot deel van het Luxemburgse nationale communicatienetwerk lamlegde, veroorzaakt doordat aanvallers misbruik maakten van een voorheen niet bekendgemaakte zero-day-kwetsbaarheid in de zakelijke routersoftware van Huawei, waardoor mobiele communicatie, vaste oproepen en contactsystemen voor noodgevallen landelijk meer dan drie uur lang werden verstoord. Deze kwetsbaarheid is nooit officieel bekendgemaakt via een openbaar kanaal, en er is ook geen CVE-nummer aan toegekend in de wereldwijd geaccepteerde kwetsbaarheidsbibliotheek. Andere telecomoperatoren die soortgelijke apparatuur gebruiken, hebben geen publieke waarschuwingen ontvangen.
POST Luxemburg is de operator die rechtstreeks door het ongeval wordt getroffen. Het is een telecommunicatiebedrijf dat gecontroleerd wordt door de Luxemburgse staat. Paul Rausch, hoofd communicatie van het bedrijf, zei dat het incident een Denial-of-Service (DoS)-aanval was op netwerkapparatuur die misbruik maakte van 'niet-openbaar, ongedocumenteerd systeemgedrag'. Er waren geen patches beschikbaar op het moment van het incident, en het “had geen verband met bekende of eerder gedocumenteerde kwetsbaarheden.” Hij zei dat Huawei achteraf tegen POST zei dat het nog nooit eerder soortgelijke aanvallen op een klantennetwerk had meegemaakt en dat het geen kant-en-klare oplossingen had.
Meerdere bronnen die vertrouwelijke briefings ontvingen, omschrijven het incident als een zero-day-aanval. Hoewel er momenteel geen bewijs is dat dezelfde aanval opnieuw heeft plaatsgevonden, is de technische oorzaak van deze fout nog niet publiekelijk uitgelegd en zijn gerelateerde problemen nooit positief erkend door Huawei. Volgens het rapport ontving Huawei vóór de publicatie van het artikel gedetailleerde vragen van verslaggevers, maar gaf geen antwoord.
Het ongeval vond plaats tegen het einde van de dag op 23 juli 2025. Op dat moment waren het vaste netwerk van POST en de mobiele 4G- en 5G-netwerken tegelijkertijd lamgelegd, waardoor honderdduizenden bewoners mogelijk geen noodoproepen konden doen zolang het incident duurde. Uit onderzoek bleek dat dit werd veroorzaakt door zorgvuldig opgebouwd netwerkverkeer dat Huawei-bedrijfsrouters gevangen hield in een voortdurende herstartlus, waardoor belangrijke knooppunten in het POST-kernnetwerk herhaaldelijk crashten, wat leidde tot landelijke communicatiestoringen. Meer dan drie uur na het incident werd het netwerk geleidelijk hersteld en ontving de alarmcentrale van het land in korte tijd honderden nieuwe oproepen.
Ten tijde van het incident omschreef de Luxemburgse regering het incident als "een ongewoon geavanceerde en geavanceerde cyberaanval". POST stelt dat deze verklaring vooral betrekking heeft op de technische mogelijkheden die nodig zijn om de kwetsbaarheid te misbruiken, en geen grootschalige DDoS-aanval is die het systeem overspoelt met verkeerspieken in de traditionele zin van het woord. De regering karakteriseerde het incident aanvankelijk als een gedistribueerde Denial-of-Service (DDoS)-aanval, maar POST heeft sindsdien duidelijk gemaakt dat het niet dezelfde aanvalstechniek voor massaverkeer was die gewoonlijk door hacktivisten of cybercriminelen wordt gebruikt.
Een woordvoerder van de Luxemburgse aanklager zei dat uit een onderzoek van de politie en cyberveiligheidsexperts is gebleken dat "er met gegevens is geknoeid" werd overgedragen via POST, een internetprovider, en dat deze gegevens "kunnen worden gebruikt om aanvallen uit te voeren op elke doelserver." Maar bij dit incident werden de gegevens niet normaal doorgestuurd, maar veroorzaakten ze abnormaal gedrag van het POST-systeem, waardoor het niet meer werkte en opnieuw opstartte. Een woordvoerder van de Luxemburgse Hoge Commissie voor Nationale Bescherming zei dat uit het laatste onderzoek “geen bewijs is gebleken dat de aanval opzettelijk was gelanceerd met POST Luxemburg als specifiek doelwit.” Er zijn geen strafrechtelijke vervolgingen ingediend.
De bovenstaande onderzoeksresultaten geven aan dat de bron van de landelijke verlamming kan zijn dat kwaadwillig geconstrueerd netwerkverkeer de POST-infrastructuur 'passeerde' toen het via internet ging. In plaats van simpelweg gegevens door te sturen zoals conventionele apparatuur, veroorzaakte de Huawei-router echter een niet bekendgemaakte storingsstatus waardoor de apparatuur herhaaldelijk stopte met werken en opnieuw opstartte, wat leidde tot een landelijk incident. Het rapport wees erop dat Huawei's zelf ontwikkelde VRP-netwerkbesturingssysteem in het verleden te maken kreeg met Denial of Service-kwetsbaarheden die verband hielden met zorgvuldig geconstrueerd protocolverkeer, zoals CVE-2021-22359 en CVE-2022-29798. Soortgelijke gebreken zijn verschenen in de producten van andere grote fabrikanten van netwerkapparatuur: verkeerd ingedeeld verkeer kan crashes van apparatuur, herhaaldelijk herladen en zelfs inbraken op afstand veroorzaken bij de dagelijkse communicatie. POST benadrukte echter dat het incident in Luxemburg geen verband houdt met de Huawei-kwetsbaarheden die eerder openbaar zijn gemaakt.
Het rapport richtte zich ook op een bredere kwestie van de ‘disclosure gap’. De afgelopen jaren heeft Huawei nog steeds CVE-nummers ingediend voor een aantal consumentenproducten, maar openbare informatie over kwetsbaarheden over zijn bedrijfsnetwerksoftware is steeds schaarser geworden. De meeste bestaande openbare zaken worden openbaar gemaakt door onafhankelijke beveiligingsonderzoekers en niet proactief vrijgegeven door fabrikanten. Het bedrijf geeft nog steeds bedrijfsveiligheidsadviezen aan klanten, maar deze adviezen zijn alleen beschikbaar via een beperkt klantenportaal en niet als een sectorbreed openbaar advies. Huawei heeft vorige maand bijvoorbeeld een beveiligingsadvies uitgebracht over een denial-of-service-kwetsbaarheid waarbij pakketparsing via de portal plaatsvindt zonder een CVE-nummer. Er is momenteel geen bewijs dat deze aankondiging verband houdt met het incident in Luxemburg.
Na de aanval hield Luxemburg een reeks technische bijeenkomsten met Huawei om de oorzaak van het incident te achterhalen. De Luxemburgse cyberveiligheidsautoriteiten communiceren relevante situaties ook aan coöperatieve noodhulpteams in heel Europa via bestaande kanalen voor overheidssamenwerking. Tot op de dag van vandaag is er echter nog geen CVE officieel ingediend voor deze kritieke zero-day-kwetsbaarheid, en de mondiale cyberbeveiligingsgemeenschap heeft daarom nog geen volledige publieke waarschuwing gekregen.
Met betrekking tot de vraag wie verantwoordelijk moet zijn voor het indienen van CVE-nummers, zei een woordvoerder van de Luxemburgse Nationale Hoge Commissie voor Bescherming dat volgens het gemeenschappelijke openbaarmakingsproces de beslissing bij de fabrikant ligt. POST zei dat het bedrijf technische informatie aan relevante partijen heeft verstrekt, maar niet het recht heeft om te beslissen hoe deze aan de buitenwereld bekend wordt gemaakt. Het rapport wees erop dat Huawei niet reageerde op vragen over waarom het niet publiekelijk een CVE had vrijgegeven voor de kwetsbaarheid die de communicatie in het hele land verstoorde. Tien maanden na het incident weet de buitenwereld nog steeds niet of de kwetsbaarheid volledig is gepatcht, hoeveel operators over de hele wereld aan het risico zijn of nog steeds zijn blootgesteld en of netwerkapparatuur die momenteel vergelijkbare Huawei-systemen draait nog steeds verborgen gevaren met zich meebrengt.