Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Haavoittuvuuksia Mirasys VMS videohallintaratkaisussa

28. kesäkuuta 2019 klo 11.00, päivitetty 11. heinäkuuta 2019 klo 14.40

Mirasys VMS -videonhallintaratkaisusovelluksesta on löytynyt kolme haavoittuvuutta. Haavoittuvuuksia hyväksikäyttämällä hyökkääjä voi saada käsiinsä luottamuksellisia tietoja tai suorittaa haitallista ohjelmakoodia kohdejärjestelmässä. Mirasys on julkaissut VMS-ohjelmistosta uuden version, joka korjaa haavoittuvuudet.

Mirasys VMS on avoimen alustan laiteriippumaton ja skaalautuva videonhallintaratkaisu erilaisiin ympäristöihin. Pyydä tarkempia ohjeita päivittämiseen liittyen valmistajalta.

Kyberturvallisuuskeskus toimi haavoittuvuuskoordinoijana yhteistyössä haavoittuvuuksien löytäjän ja valmistajan kanssa. Haavoittuvuudet löysi itävaltalainen tietoturvatutkija Joachim Kerschbaumer. Kyberturvallisuuskeskus kiittää haavoittuvuuksien löytäjää ja valmistajaa yhteistyöstä.

Haavoittuvuuden kohde

  • Mirasys VMS - V8.3.1 ja aiemmat versiot, V7.6.0 ja aiemmat versiot

Mistä on kysymys?

  • Päivitä ohjelmisto valmistajan ohjeiden mukaisesti
    • Mirasys VMS V8.3.2 korjaa kaksi kolmesta haavoittuvuudesta
    • Mirasys VMS V8.3.3 korjaa kaikki kolme haavoittuvuutta
    • Mirasys VMS V7.6.1 korjaa kaikki kolme haavoittuvuutta. 

Mitä voin tehdä?

https://mirasys.com Ulkoinen verkkopalvelu.

CVE-2019-11029 Ulkoinen verkkopalvelu.
CVE-2019-11030 Ulkoinen verkkopalvelu.
CVE-2019-11031 Ulkoinen verkkopalvelu.

Kyberturvallisuuskeskuksen haavoittuvuuskoordinoinnin tavoittaa seuraavasti:
Sähköposti: vulncoord@ficora.fi
Mainitkaa tapausnumero [FICORA #1086008] viestin otsikossa.

Lisätietoja haavoittuvuuskoordinaatiosta löydät sivuiltamme:
https://www.kyberturvallisuuskeskus.fi/fi/palvelumme/tilannekuva-ja-verkostojohtaminen Ulkoinen verkkopalvelu.

Sulautetut järjestelmät

Sulautetun järjestelmän muodostavat laite ja sen sisältämä ohjelmisto yhdessä. Kuluttajien käyttämistä laitteista varsin monia voidaan pitää sulautettuina järjestelminä. Esimerkki tällaisesta on digitaalisten tv-lähetysten katselemiseen tarvittava digiboksi.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

11. heinäkuuta 2019 klo 14.40 Lisätty tietoja korjatuista versioista.