2025年7月23日，卢森堡国有运营商 POST Luxembourg 出现全国性通信中断，固定电话、4G/5G 和紧急通信受到影响，持续超过3小时。 

POST 方面确认，事件涉及针对网络设备的拒绝服务攻击，利用了一个“非公开、未记录”的行为，当时没有可用补丁，并非已知漏洞。

多家安全媒体援引 The Record 报道称，事件与某设备商企业路由器软件中的未知漏洞有关，特制流量导致设备进入持续重启循环。

截至相关报道发布时，该漏洞未见公开CVE编号，也未见面向更广泛运营商群体的公开预警。

当地调查也提到，没有证据显示此次事件是专门针对 POST Luxembourg 的定向攻击，目前没有刑事指控。

文  赵哲超/5G通信

（图源：国外网络安全媒体 The Record from Recorded Future News 报道）

   10个月还未有漏洞结果？

照全球网络安全行业的惯例，重大漏洞被发现之后，设备商应该做几件事：

第一，分配CVE编号。CVE是国际通用的漏洞编号系统，分配编号意味着这个漏洞被正式登记在案，全行业都能查到。第二，发布安全公告和官方补丁，让所有使用该设备的客户能够及时打补丁修复。第三，向全球运营商和监管机构发出预警，避免同样的事情在其他地方重演。

这是网络安全行业最基本的"行业规矩"，也是设备商对客户、对全球网络安全应尽的责任。

但是，截至2026年5月20日，距离卢森堡事件已经整整过去了10个月——

• 这家设备商没有公开披露这一漏洞
• 没有分配CVE编号
• 没有发布官方补丁
• 也没有向全球运营商发出任何预警

10个月，整整300天，全球网络安全圈几乎听不到这家设备商关于这个漏洞的任何官方表态。这种沉默，是反常的。那么，在全球范围内能够大规模供应电信级路由器和核心网设备、同时又有能力让一个高危漏洞"沉默"10个月的设备商，能有几家？

实际上关于涉事设备商，海外安全媒体已有进一步报道。但考虑到目前相关厂商并未公开发布完整技术公告，POST Luxembourg及当地调查信息也主要围绕事故机理展开。所以接下来我们说一说运营商，电信网络的最终运营责任人，是运营商。

   运营商的"三重责任"

第一，选型采购阶段的安全尽职调查责任。 运营商在采购前，应严格评估供应商的漏洞披露透明度、补丁响应SLA、安全工程能力、应急响应水平。但现实中，这些"安全维度"的权重远不如价格、性能、商务条款——安全经常是"加分项"，而不是"门槛项"。

第二，避免单点依赖的架构责任。 卢森堡3小时全国瘫痪，本质上是单点依赖的代价：对单一厂商、单一软件版本、单一拓扑结构的过度依赖，使得一个共性漏洞就能让整张网"同时中招"。

第三，运维过程中的漏洞跟踪与补丁管理责任。 设备买回来后，安全管理责任才真正开始。运营商应建立主动情报收集、规范补丁流程、已知漏洞清单、应急修复机制——但很多运营商连"自己网络中存在哪些未修复漏洞"都说不清楚。

   运营商应如何系统性升级？

在漏洞披露维度——从被动接收到主动情报。 不能依赖厂商"主动告知"，应建立多渠道情报来源（CVE/CERT、研究机构、内部审计、威胁情报）；在合同中明确披露义务条款，把"沉默"的成本写进契约；推动行业级漏洞共享。

在补丁响应维度——从流程化到敏捷化。 建立补丁管理"双轨制"——常规补丁求稳，应急补丁求快；在补丁未到位前具备"缓解措施"能力（配置加固、流量监测、临时关闭高危功能）；建立"网络资产-漏洞状态"实时图谱；把"端到端修复时间"作为安全运营核心KPI。

在基础设施韧性维度——从冗余设计到主动测试。 实施"反单点"原则：单一厂商占比应有上限、版本异构化、核心节点至少3条独立路径、管理面/信令面/数据面隔离；故障域最小化；为紧急呼叫、政务、医疗等生命线业务构建独立承载通道甚至卫星备份；定期开展红蓝对抗、故障注入、断网演练等真实破坏性测试——很多运营商演练流于形式，就是因为"不敢真演"，但不真演，问题永远不会真正暴露。

写在最后：

卢森堡的3小时是一次警钟：电信网络的安全与韧性，最终责任在运营商手上。设备会有漏洞，厂商会有沉默，监管会有滞后，但用户的电话能不能打出去、紧急呼叫能不能接通，答案写在运营商自己的工程能力、采购决策、运维流程、应急预案里。