NicheStack TCP/IP-toteutuksesta löytyi useita haavoittuvuuksia | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

NicheStack TCP/IP-toteutuksesta löytyi useita haavoittuvuuksia

4. elokuuta 2021 klo 15.58, päivitetty 11. elokuuta 2021 klo 10.00

Erityisesti sulautetuissa järjestelmissä käytössä olevasta NicheStack TCP/IP -toteutuksesta löytyi 14 haavoittuvuutta. Nyt julkaistuista haavoittuvuuksista kaksi on kriittisiä, jotka mahdollistavat etänä suoritettavat komennot. Useat sulautettuja järjestelmiä tuottavat valmistajat käyttävät kyseistä toteutusta omissa tuotteissaan.

Forescoutin ja JFrogin tutkijaryhmä julkaisi joukon NicheStack TCP/IP -pinon haavoittuvuuksia. NicheStack on käytössä esimerkiksi teollisuusautomaatiolaitteissa ja kriittisessäkin infrastruktuurissa. 
Nyt julkaistu haavoittuvuusjoukko on saanut nimekseen INFRA:HALT. Haavoittuvuuksia on yhteensä 14, joista kriittiseksi on luokiteltu kaksi kappaletta. 

Kriittiset haavoittuvuudet CVE-2020-25928 ja CVE-2021-31226 mahdollistavat etänä suoritettavat komennot. 
CVE-2020-25928-haavoittuvuus koskee DNSv4 DNS-vastausten jäsentämistä, joka ei tarkista "response data length"-kenttää.
CVE-2021-31226-haavoittuvuus mahdollistaa puskurin ylivuodon koodissa, koska se ei tarkista HTTP POST-pyynnön kokoa.

Valmistajat selvittävät parhaillaan haavoittuvuuksien vaikutusta omiin tuotteisiinsa, ja on hyvä seurata tilannetta mikäli haavoittuvuudet saattavat koskea organisaatiotanne.
INFRA:HALT-haavoittuvat laitteet on suositeltavaa poistaa internetistä ja suunnitella kriittiset järjestelmät niin, että tämän kaltaisten laitteiden pääsy verkkoon on hyvin rajattu. Verkon segmentointi ja laitteiden päivittäminen on nyt ja jatkossa erittäin tärkeää. Jotkut haavoittuvuuksista on myös mahdollista torjua esimerkiksi ottamalla käyttämättömät protokollat pois käytöstä.

Forescoutin ja kumppanien Project Memoria (ulkoinen linkki) on tuottanut haavoittuvuusraportteja jo aiemmin.
Edelliset vuoden sisällä julkaistut haavoittuvuusjoukot saivat nimekseen AMNESIA:33 (ulkoinen linkki), NUMBER:JACK (ulkoinen linkki), NAME:WRECK (ulkoinen linkki) ja nyt INFRA:HALT (ulkoinen linkki).

Haavoittuvuus ei koske kuluttajalaitteita, eikä yksityiskäyttäjiltä vaadita toimenpiteitä tämän haavoittuvuuden suhteen.

Haavoittuvuuden kohde

Tutkijat ovat kertoneet blogissa (ulkoinen linkki) NicheStackia käyttävien yritysten määrän olevan mahdollisesti lähes 200. 

Tutkijat olivat myös yksinkertaisella Shodan-haulla havainneet verkosta yli 6400 laitetta, jotka käyttävät NicheStackia.

Valmistajat selvittävät parhaillaan haavoittuvuuksien vaikutusta omiin tuotteisiinsa, ja on hyvä seurata tilannetta mikäli haavoittuvuudet saattavat koskea organisaatiotanne.


Uutta 11.8. perustuen CERT CC haavoittuvuussivuun (ulkoinen linkki)

Seuraavat valmistajatiedot on vahvistettu: 
HCC, Phoenix Contact, Rockwell Automation ja Siemens käyttävät NicheStackia.

AVM GmbH, Fujitsu ja Intel eivät.

ABB, Dell ja Ericsson ei vielä tiedossa.

 

Mistä on kysymys?

Laitteiden päivittäminen heti mikäli mahdollista, kun valmistajat julkaisevat niihin päivityksiä.

Forescout julkaisi rajoittavien toimenpiteiden listan blogissaan (ulkoinen linkki)

Forescoutin raportti (ulkoinen linkki)
CERT CC-haavoittuvuussivu (ulkoinen linkki)

Sulautetut järjestelmät

Sulautetun järjestelmän muodostavat laite ja sen sisältämä ohjelmisto yhdessä. Kuluttajien käyttämistä laitteista varsin monia voidaan pitää sulautettuina järjestelminä. Esimerkki tällaisesta on digitaalisten tv-lähetysten katselemiseen tarvittava digiboksi.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Palvelunestohyökkäys

Palvelunestohyökkäyksen tarkoituksena on estää kohdejärjestelmää toimimasta siinä tehtävässä mihin se on tarkoitettu. Hyökkäyksen tarkoituksena voi olla esimerkiksi www- tai sähköpostipalvelimen kuormittaminen runsaalla verkkoliikenteellä.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.

11. elokuuta 2021 klo 10.00 Lisätty CERT CC-linkki ja päivitetyt valmistajatiedot