Haavoittuvuus D-Link DIR-850L wlan-tukiasemassa

Haavoittuvuus26/2018

D-Link DIR-850L -wlan-tukiaseman WPA-tunnistuksesta on löydetty haavoittuvuus. Hyökkääjä voi liittyä haavoittuvan laitteen tarjoamaan verkkoon tietämättä verkon salasanaa.

D-Link DIR-850 -wlan-tukiasema suostuu kommunikoimaan myös niille verkon laitteille, jotka eivät ole suorittaneet täyttä WPA-kättelyä. Laite voi lähettää salaamattomia pakettikehyksiä tukiasemalle, saada laitteelta osoitteen ja lähettää IP-paketteja. Hyväksikäyttämällä haavoittuvuutta hyökkääjä voi ohittaa verkon WPA-suojauksen ja tehdä jatkohyökkäyksiä verkkoa ja sen käyttäjiä kohtaan.

Haavoittuvuuskoordinointi:

Kyberturvallisuuskeskus toimi haavoittuvuuskoordinoijana yhteistyössä haavoittuvuuden löytäjän ja laitevalmistajan kanssa. Haavoittuvuuden löysi Tuomo Untinen Synopsys Finland Oy:stä. Kyberturvallisuuskeskus kiittää haavoittuvuuden löytäjää ja

Kohde

  • Sulautetut järjestelmät

Hyökkäystapa

  • Etäkäyttö
  • Ilman kirjautumista

Vaikutukset

  • Suojauksen ohittaminen

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

D-Link DIR-850L Rev. Ax Firmware v1.21B06 Beta ja sitä aikaisemmat versiot

Ratkaisu- ja rajoitusmahdollisuudet

Haavoittuvuus on korjattu versiossa v1.21b07.i9d9 (14.9.2018), joka on saatavilla valmistajan kotisivuilla osoitteessa https://support.dlink.com/ProductInfo.aspx?m=DIR-850L (Ulkoinen linkki)

 

Haavoittuvuuskoordinoinnin yhteystiedot:

CERT-FI haavoittuvuuskoordinoinnin tavoittaa seuraavasti:

Sähköposti: vulncoord@ficora.fi

Mainitkaa tapausnumero [FICORA #1060226] viestin otsikossa.

 

Muut yhteystiedot:

https://www.viestintavirasto.fi/kyberturvallisuus/viestintavirastontietoturvapalvelut/cert-fi.html (Ulkoinen linkki)

Lisätkää postiosoitteeseen sana haavoittuvuuskoordinointi.CERT-FI suosittelee PGP- tai SMIME-salauksen käyttöä haavoittuvuuskoordinointiasioita käsiteltäessä. Avaimistomme löytyvät yhteystietojen yhteydestä.

CERT-FI:n haavoittuvuuskoordinoinnin periaatteet ovat luettavissa osoitteesta:

https://www.viestintavirasto.fi/attachments/vulncoord/68RKKzUHm/Haavoittuvuuksien_koordinointipolitiikka_1.1.pdf (Ulkoinen linkki)

 

Lisätietoja

Alkuperäinen haavoittuvuustiedote julkaistu 7.11.2018 07.11.2018 klo 17:28 Lisätty D-Linkin tiedote