Goodmill Systems w24e ja w24h -reitittimissä haavoittuvuuksia

Haavoittuvuus16/2018

Goodmill Systems w24e ja W24h -reitittimien laiteohjelmasta (firmware) on löydetty kolme haavoittuvuutta. Haavoittuvuudet mahdollistavat kirjautuneen käyttäjän käyttöoikeuksien laajentamisen. Goodmill Systems on julkaissut uuden version reitittimen laiteohjelmasta, joka korjaa haavoittuvuudet.

Päivitetyn laiteohjelmaversion myötä reitittimien etähallintaan käytetty, kovakoodattua salasanaa käyttävä "remote_user" -oletuskäyttäjätunnus, on poistettu. Samalla laitevalmistajan teknisen tuen käyttöön tarkoitetun käyttäjätunnuksen suojausta on parannettu. Goodmill Systems on suomalainen yritys, jonka tietoliikennetuotteita käytetään erityisesti esimerkiksi ajoneuvoissa. Pyydä tarkempia ohjeita päivittämiseen liittyen laitevalmistajalta.

Haavoittuvuuskoordinointi:

Kyberturvallisuuskeskus toimi haavoittuvuuskoordinoijana yhteistyössä haavoittuvuuden löytäjien ja laitevalmistajan kanssa. Haavoittuvuuden löysivät Antti Tönkyrä, Mika Järvinen, Mikko Kenttälä ja Ossi Salmi. Kyberturvallisuuskeskus kiittää haavoittuvuuden löytäjiä ja laitevalmistajaa yhteistyöstä.

Kohde

  • Verkon aktiivilaitteet

Hyökkäystapa

  • Etäkäyttö
  • Paikallisesti

Vaikutukset

  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot

  • Laiteohjelmiston (firmware) w24e versiot 4.0.3.x, 4.0.4, 4.0.5.x , 4.0.6.x ennen versiota 4.0.6.4
  • Laiteohjelmiston (firmware) w24h versiot ennen versiota 1.2.0.3

Ratkaisu- ja rajoitusmahdollisuudet

  • Asenna haavoittuvuudet korjaava ohjelmistopäivitys. Tarkemmat ohjeet päivityksen asentamiseen saat laitevalmistajalta.
  • Rajoita pääsy laitteen hallintaliittymään mahdolliseksi vain erillisestä hallintaverkosta.

Lisätietoja

Haavoittuvuuskoordinoinnin yhteystiedot:

Kyberturvallisuuskeskuksen haavoittuvuuskoordinoinnin tavoittaa seuraavasti:

Sähköposti: vulncoord@ficora.fi

Mainitkaa tapausnumero [FICORA #1038870] viestin otsikossa.

Muut yhteystiedot:

https://beta.kyberturvallisuuskeskus.fi/fi/toimintamme/cert (Ulkoinen linkki)

Lisätkää postiosoitteeseen sana haavoittuvuuskoordinointi. Kyberturvallisuuskeskus suosittelee PGP- tai SMIME-salauksen käyttöä haavoittuvuuskoordinointiasioita käsiteltäessä. Avaimistomme löytyvät yhteystietojen yhteydestä.

Kyberturvallisuuskeskuksen haavoittuvuuskoordinoinnin periaatteet ovat luettavissa osoitteesta:

https://www.viestintavirasto.fi/attachments/vulncoord/68RKKzUHm/Haavoittuvuuksien_koordinointipolitiikka_1.1.pdf (Ulkoinen linkki)