華為路由器疑似零時差漏洞引發DoS攻擊，盧森堡去年通訊中斷逾3小時

而且在事件過後10個月，這項軟體漏洞沒有漏洞編號、也未被公開揭露或有任何公開資訊，廠商華為也沒有對其他同一款設備的電信用戶發佈警告。

這場資安事件發生於2025年7月23日。盧森堡國營電信公司POST Luxembourg的固網電話、4G、5G網路全部斷線，數十萬家庭用戶不僅無法通訊，連打電話叫消防、救護車等緊急救護都不可能。

通訊部門主管Paul Rausch指出，去年的斷線是對一臺華為網路裝置發動的阻斷服務（Denial of Service，DoS）攻擊。其路由器發生不斷重新啟動。超過3小時後網路恢復，該公司緊急通報中心忽然湧進數百通電話。

事件發生時，盧森堡政府描述此事件為「極端進階及複雜的網路攻擊」。一開始他們相信，這是由社會運動駭客或犯罪集團發動分散式阻斷服務攻擊（DDoS）。但該國檢調單位及警方、資安專家團隊調查後發現，該事件是攻擊者利用POST Luxembourg為中繼站，將巨量流量經由它轉送（relay）出去，並非以其為目標。不過這個階段，華為路由器卻未能順利將流量轉送出去，而是發生不知名的故障，導致陷入重啟動循環及停止運作。

POST主管說該起事件起於華為之前未知的漏洞，當然也沒有修補程式。但用戶從華為得到的答覆是，沒有任何其他用戶有遇到攻擊，它也沒有現成的解決方案。並有其他多家不願公開身份的電信業者證實發生這樁零時差漏洞攻擊。

盧森堡國家防護委員會告訴媒體，當局沒有提出犯罪起訴。此外報導指出，當沒有證據顯示之後又發生類似大規模斷線的攻擊，但是客戶們從未獲得解釋，華為也從未公開承認漏洞。

華為路由器的VRP（Versatile Routing Platform）OS曾經被發現二項DoS漏洞，包括CVE-2021-22359和CVE-2022-29798，皆為CVSS 7.5的安全瑕疵。