Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Haavoittuvuus koskee puhelimen tunnistautumista langattomaan verkkoon yritysympäristössä. Tietyillä asetuksilla puhelin välittää RADIUS-tunnistautumispalvelimelle käyttäjän kirjautumistiedot selkokielisessä muodossa. Haavoittuvuudelle on julkaistu korjaus, jonka käyttäjät voivat asentaa puhelimiinsa.

Haavoittuvuus koskee MSCHAPv2-tunnistautumista RADIUS-palvelimelle käytettäessä PEAP-protokollaa WPA/WPA Enterprise Wi-Fi-verkoissa.

Vaikka laite on konfiguroitu käyttämään MSCHAPv2-haaste-vaste-protokollaa, haavoittuva laite ei käytä tätä, vaan yrittää kirjautua RADIUS-palvelimelle käyttäen salaamatonta EAP-GTC-protokollaa. Jos RADIUS-palvelin on konfiguroitu hyväksymään tämä, laite välittää käyttäjän kirjautumistiedot selkokielisenä RADIUS-palvelimelle. Haavoittuvuus koskee pääasiassa WPA/WPA2 Enterprise -yritys- ja yhteisöverkkoja, joita on käytössä yritysten lisäksi myös yliopistoissa. Tästä syystä verkkojen ylläpitäjien on syytä tarkistaa palvelinten konfiguraatiot ja muistuttaa verkon käyttäjiä päivityksistä.

Vuonna 2018 julkaistu Nokia 8 Sirocco sai viimeisen virallisen päivityksensä 21.6.2021, mutta Nokia-puhelimia valmistava HMD Global päätti korjata vielä tämän haavoittuvuuden ja korjauspaketti tuli saataville puhelimiin 13.7.2021.

Kyberturvallisuuskeskus välitti haavoittuvuuden tiedoksi HMD Globalille ja haluamme kiittää vielä erikseen haavoittuvuuden löytäjää (Karri Huhtanen).

Kohde

  • Matkaviestinjärjestelmät

Hyökkäystapa

  • Ilman käyttäjän toimia

Vaikutukset

  • Suojauksen ohittaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Ei julkaistu

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvuuden kohde

Nokia 8 Sirocco -puhelimet

Mistä on kysymys?

Asenna 13.7. julkaistu tietoturvapäivitys 00WW_5_14M puhelimesi päivitysvalikosta.

Korjattu haavoittuvuustieto.

Lisätty linkki Nokian päivityssivulle