Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

NicheStack TCP/IP-toteutuksesta löytyi useita haavoittuvuuksia

Haavoittuvuus22/2021CVSS 9.8

Erityisesti sulautetuissa järjestelmissä käytössä olevasta NicheStack TCP/IP -toteutuksesta löytyi 14 haavoittuvuutta. Nyt julkaistuista haavoittuvuuksista kaksi on kriittisiä, jotka mahdollistavat etänä suoritettavat komennot. Useat sulautettuja järjestelmiä tuottavat valmistajat käyttävät kyseistä toteutusta omissa tuotteissaan.

Forescoutin ja JFrogin tutkijaryhmä julkaisi joukon NicheStack TCP/IP -pinon haavoittuvuuksia. NicheStack on käytössä esimerkiksi teollisuusautomaatiolaitteissa ja kriittisessäkin infrastruktuurissa. 
Nyt julkaistu haavoittuvuusjoukko on saanut nimekseen INFRA:HALT. Haavoittuvuuksia on yhteensä 14, joista kriittiseksi on luokiteltu kaksi kappaletta. 

Kriittiset haavoittuvuudet CVE-2020-25928 ja CVE-2021-31226 mahdollistavat etänä suoritettavat komennot. 
CVE-2020-25928-haavoittuvuus koskee DNSv4 DNS-vastausten jäsentämistä, joka ei tarkista "response data length"-kenttää.
CVE-2021-31226-haavoittuvuus mahdollistaa puskurin ylivuodon koodissa, koska se ei tarkista HTTP POST-pyynnön kokoa.

Valmistajat selvittävät parhaillaan haavoittuvuuksien vaikutusta omiin tuotteisiinsa, ja on hyvä seurata tilannetta mikäli haavoittuvuudet saattavat koskea organisaatiotanne.
INFRA:HALT-haavoittuvat laitteet on suositeltavaa poistaa internetistä ja suunnitella kriittiset järjestelmät niin, että tämän kaltaisten laitteiden pääsy verkkoon on hyvin rajattu. Verkon segmentointi ja laitteiden päivittäminen on nyt ja jatkossa erittäin tärkeää. Jotkut haavoittuvuuksista on myös mahdollista torjua esimerkiksi ottamalla käyttämättömät protokollat pois käytöstä.

Forescoutin ja kumppanien Project Memoria (Ulkoinen linkki) (ulkoinen linkki) on tuottanut haavoittuvuusraportteja jo aiemmin.
Edelliset vuoden sisällä julkaistut haavoittuvuusjoukot saivat nimekseen AMNESIA:33 (Ulkoinen linkki) (ulkoinen linkki), NUMBER:JACK (Ulkoinen linkki) (ulkoinen linkki), NAME:WRECK (Ulkoinen linkki) (ulkoinen linkki) ja nyt INFRA:HALT (Ulkoinen linkki) (ulkoinen linkki).

Haavoittuvuus ei koske kuluttajalaitteita, eikä yksityiskäyttäjiltä vaadita toimenpiteitä tämän haavoittuvuuden suhteen.

Kohde

  • Sulautetut järjestelmät

Hyökkäystapa

  • Etäkäyttö

Vaikutukset

  • Palvelunestohyökkäys
  • Komentojen mielivaltainen suorittaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Ei julkaistu

Ratkaisu

  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot

Tutkijat ovat kertoneet blogissa (Ulkoinen linkki) (ulkoinen linkki) NicheStackia käyttävien yritysten määrän olevan mahdollisesti lähes 200. 

Tutkijat olivat myös yksinkertaisella Shodan-haulla havainneet verkosta yli 6400 laitetta, jotka käyttävät NicheStackia.

Valmistajat selvittävät parhaillaan haavoittuvuuksien vaikutusta omiin tuotteisiinsa, ja on hyvä seurata tilannetta mikäli haavoittuvuudet saattavat koskea organisaatiotanne.


Uutta 11.8. perustuen CERT CC haavoittuvuussivuun (Ulkoinen linkki) (ulkoinen linkki)

Seuraavat valmistajatiedot on vahvistettu: 
HCC, Phoenix Contact, Rockwell Automation ja Siemens käyttävät NicheStackia.

AVM GmbH, Fujitsu ja Intel eivät.

ABB, Dell ja Ericsson ei vielä tiedossa.

Ratkaisu- ja rajoitusmahdollisuudet

Laitteiden päivittäminen heti mikäli mahdollista, kun valmistajat julkaisevat niihin päivityksiä.

Forescout julkaisi rajoittavien toimenpiteiden listan blogissaan (Ulkoinen linkki) (ulkoinen linkki)

Lisätty CERT CC-linkki ja päivitetyt valmistajatiedot