Nokia 8 Sirocco-telefoner: fix för sårbarhet i WPA/WPA2 Enterprise-nätverk
Sårbarheten gäller Wi-Fi-autentisering i företagsnät. Med vissa inställningar förmedlar mobiltelefonen användarens användarnamn och lösenord till autentiseringsservern RADIUS som klartext. En korrigering har publicerats för att fixa sårbarheten. Användare kan ladda ned och installera korrigeringen i sina telefoner.
Sårbarheten gäller MSCHAPv2-autentiseringen för RADIUS-servrar när man använder PEAP-protokollet i WPA/WPA2 Enterprise Wi-Fi-nätverk.
Även om telefonen är konfigurerad att använda MSCHAPv2-challenge-responseprotokollet försöker sårbarheten få den logga in på en RADIUS-server med det okrypterade EAP-GTC-protokollet. Om RADIUS-servern är konfigurerad att acceptera protokollet, förmedlar apparaten användarens inloggningsuppgifter till RADIUS-servern som klartext. Sårbarheten gäller främst WPA/WPA2 Enterprise-nät som används hos företag och organisationer och även vid universitet. Nätverksadministratörer bör därför kontrollera sina serverkonfigurationer och påminna användare av nätet om uppdateringar.
Telefonen Nokia 8 Sirocco offentliggjordes år 2018 och fick dess sista officiella uppdatering den 21 juni 2021. HMD Global, som tillverkar Nokia-telefoner, beslöt dock att ännu korrigera denna sårbarhet. Korrigeringspaketet blev tillgängligt den 13 juli 2021.
Cybersäkerhetscentret informerade HMD Global om sårbarheten. Vi vill särskilt tacka Karri Huhtanen som hittade sårbarheten och rapporterade den.
Föremål for sårbarhet
Nokia 8 Sirocco-telefoner
Vad handlar det om?
Installera säkerhetsuppdateringen 00WW_5_14M (publicerad den 13 juli) från din telefons uppdateringsmeny.