多名知情人士透露，去年导致卢森堡全国通信网络大面积瘫痪的重大事故，系攻击者利用华为企业路由器软件中一个此前从未披露的零日漏洞所致，造成移动通信、固话以及紧急联络系统在全国范围内中断超过三小时。这一漏洞至今从未在任何公开渠道被正式披露，也没有在全球通行的漏洞库中获得 CVE 编号，运营同类设备的其他电信运营商也未获公开预警。

POST Luxembourg 是此次事故的直接受影响运营商，其为卢森堡国家控股的电信企业。 该公司通讯负责人保罗·劳施（Paul Rausch）表示，此次事件是一场针对网络设备的拒绝服务（DoS）攻击，利用了“非公开、未记录的系统行为”，事发时并不存在可用补丁，且“与任何已知或先前记录在案的漏洞无关”。 他称，华为在事后告知 POST，其此前从未在任何客户网络中遭遇同类攻击，也没有现成解决方案。

多名接受过相关保密通报的消息人士将此次事件界定为一次零日攻击。 虽然目前没有任何证据显示同样的攻击再次发生，但这一缺陷的技术成因仍未得到公开解释，相关问题也从未获得华为方面正面承认。 报道称，华为在稿件刊发前收到了记者发出的详细问询，但未作出任何回应。

事故发生在 2025 年 7 月 23 日接近下班时分。 当时，POST 的固定电话网络以及 4G、5G 移动网络同时瘫痪，可能有数十万居民在事件持续期间无法拨打紧急电话。 调查显示，这是由精心构造的网络流量触发的，这些流量让华为企业路由器陷入持续重启循环，导致 POST 核心网络中的关键节点反复崩溃，进而引发全国范围的通信中断。 事发三个多小时后网络才逐步恢复，而此后该国紧急呼叫中心在短时间内接到了数百通新增来电。

事发当时，卢森堡政府曾将该事件描述为“一次异常高级且复杂的网络攻击”。 POST 表示，这一表述主要是针对利用该漏洞所需的技术能力，并非传统意义上以流量洪峰压垮系统的体量型 DDoS 攻击。 政府最初曾将事故界定为一场分布式拒绝服务（DDoS）攻击，POST 此后澄清，这与黑客活动人士或网络犯罪分子常用的大规模流量攻击手法并不相同。

卢森堡检方发言人介绍，警方与网络安全专家开展的调查发现，有“被篡改的数据”通过 POST 这一互联网服务提供商中转，而这些数据“可被用于发动针对任意目标服务器的攻击”。 但在此次事件中，这些数据并不是被正常转发，而是触发了 POST 系统的异常行为，使其停止工作并重启。 卢森堡国家防护高级委员会（High Commission for National Protection）的发言人表示，最终调查认为“没有证据表明，攻击是将 POST Luxembourg 作为特定目标而有意发起的”。 目前尚无任何刑事指控被提出。

上述调查结果表明，引发全国瘫痪的源头，可能只是恶意构造的网络流量在互联网中传递时“路过”了 POST 的基础设施。 然而，华为路由器并未像常规设备那样将数据简单转发，而是触发了某种未公开的故障状态，导致设备反复停止工作并重启，从而放大为全国性事故。 报道指出，华为自研的 VRP 网络操作系统过去曾出现过与精心构造协议流量相关的拒绝服务漏洞，例如 CVE-2021-22359 和 CVE-2022-29798 等。 在其他大型网络设备厂商的产品中，也曾出现类似缺陷：畸形流量可引发设备崩溃、反复重载，甚至在处理日常通信时遭远程入侵。 不过，POST 强调，此次卢森堡事件与此前已公开披露的华为漏洞并无关联。

报道同时关注到一个更广泛的“披露缺口”问题。 近年来，华为仍会为部分消费类产品提交 CVE 编号，但关于其企业级网络软件的公开漏洞信息则愈发稀少，现有公开案例多由独立安全研究人员披露，而非厂商主动发布。 公司仍在向客户发布企业安全公告，但这些公告仅通过受限的客户门户提供，而非面向全行业的公开通报。 例如，华为上月通过该门户发布了一份涉及数据包解析的拒绝服务漏洞安全通告，并未配套 CVE 编号。 当前没有证据表明，这则通告与卢森堡事件存在关联。

在此次攻击发生后，卢森堡方面与华为举行了一系列技术会议，以查明事故原因。 卢森堡的网络安全主管机构也通过现有的政府合作渠道，将相关情况通报给全欧洲范围内的合作应急响应团队。 然而，直到今天，仍没有任何关于这一关键零日漏洞的 CVE 被正式提交，全球网络安全社区也因此未获得完整的公开预警。

对于谁应负责提交 CVE 编号这一问题，卢森堡国家防护高级委员会发言人表示，按照通行披露流程，该决定权在厂商一方。 POST 方面则称，公司已向相关方提供了技术信息，但无权决定对外披露方式。 报道指出，华为没有回应为何未就此次导致全国通信中断的漏洞公开发布 CVE 的询问。 事发十个月后，外界仍不清楚这一漏洞是否已被彻底修补、全球范围内有多少运营商曾经或仍然暴露在风险之下，以及当前运行类似华为系统的网络设备是否依旧存在隐患。