Treckin TCP/IP-toteutuksesta on löydetty lukuisia haavoittuvuuksia | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Treckin TCP/IP-toteutuksesta on löydetty lukuisia haavoittuvuuksia

17. kesäkuuta 2020 klo 15.17, päivitetty 5. elokuuta 2020 klo 13.05

Treckin erityisesti sulautettujen järjestelmien käyttöön suunnatusta TCP/IP-toteutuksesta on löydetty 19 eri haavoittuvuutta. Vakavimmat haavoittuvuudet on luokiteltu kriittisiksi ja ne mahdollistavat haavoittuvan laitteen haltuunoton. Useat valmistajat käyttävät kyseistä toteutusta omissa tuotteissaan. Haavoittuvuudet vaikuttavat arvioiden mukaan maailmanlaajuisesti satoihin miljooniin laitteisiin eri toimialoilla. Treck on tiedotteensa mukaan korjannut haavoittuvuudet tuoreimmassa TCP/IP-toteutuksessaan.

Haavoittuvuusjoukon löysi JSOF-niminen tietoturvatutkijoiden joukko, joka antoi löytyneelle 19:n haavoittuvuuden joukolle nimen "Ripple20" kuvatakseen pienehköstä keskeisestä komponentista löytyneen haavoittuvuuden vaikutusten leviämistä laajalle eri valmistajien tuotteisiin ja niiden muodostamiin toimitusketjuihin eri toimialoilla. Vaikka Treckin TCP/IP-toteutuksesta on tiedotteen perusteella julkaistu korjattu versio, kestänee sen käyttöönotto eri valmistajien tuotteissa vielä pitkään. Useat valmistajat ovat selvittäneet ja selvittävät parhaillaan haavoittuvuuksien vaikutusta omiin tuotteisiinsa. CERT/CC:n tiedotteesta löytyy ajankohtainen tilannetieto haavoittuvuuksien vaikutuksista eri valmistajan tuotteisiin ja ohjaus mahdollisiin valmistajan antamiin ohjeisiin, sekä tarkempia ohjeita mahdollisista rajoitustoimista. Haavoittuvuudet vaikuttavat todennäköisesti myös erilaisiin teollisuusautomaatio- ja lääkintälaitteisiin. Lisätietoja ICS-CERT:n tiedotteesta.

Haavoittuvuuden kohde

  • Treck TCP/IP-toteutus - versiota 6.0.1.66 aiemmat versiot
  • Eri valmistajien Treck TCP/IP-toteutusta käyttävät tuotteet, katso tarkempi listaus CERT/CC:n ja ICS-CERT:n tiedotteista
  • Päivitys 4.8.2020: Treck TCP/IP-toteutus saatetaan tuntea myös muilla nimillä kuten: Kasago TCP/IP, ELMIC, Net+ OS, Quadnet, GHNET v2, Kwiknet, ja AMX, jotka ovat myös haavoittuvia. Tarkista ajantasainen lista CERT/CC:n ja ICS-CERT:n sivuilta.

Mistä on kysymys?

  • Valmistajan ohjeet - seuraa valmistajan ohjeita haavoittuvan tuotteen päivittämiseksi tai rajoittavien toimenpiteiden tekemistä varten. Ole tarvittaessa suoraan yhteydessä tuotteen valmistajaan.
  • Tarkempia rajoituskeinoja löytyy CERT/CC:n haavoittuvuustiedotteesta

Mitä voin tehdä?

https://treck.com/vulnerability-response-information/

https://www.us-cert.gov/ics/advisories/icsa-20-168-01

https://kb.cert.org/vuls/id/257161

https://www.jsof-tech.com/ripple20/

Päivitys 4.8.2020:
https://www.tenable.com/blog/ripple20-more-vulnerable-devices-discovered-including-new-vendors

CVE-2020-11896

CVE-2020-11897

CVE-2020-11898

CVE-2020-11899

CVE-2020-11900

CVE-2020-11901

CVE-2020-11902

CVE-2020-11903

CVE-2020-11904

CVE-2020-11905

CVE-2020-11906

CVE-2020-11907

CVE-2020-11908

CVE-2020-11909

CVE-2020-11910

CVE-2020-11911

CVE-2020-11912

CVE-2020-11913

CVE-2020-11914

 

Sulautetut järjestelmät

Sulautetun järjestelmän muodostavat laite ja sen sisältämä ohjelmisto yhdessä. Kuluttajien käyttämistä laitteista varsin monia voidaan pitää sulautettuina järjestelminä. Esimerkki tällaisesta on digitaalisten tv-lähetysten katselemiseen tarvittava digiboksi.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.

5. elokuuta 2020 klo 13.05 Päivitetty haavoittuvien toteutusten listaa.