Nokia 8 Sirocco-puhelimista korjattu WPA/WPA2 Enterprise-verkoissa esiintyvä haavoittuvuus
Haavoittuvuus23/2021
Haavoittuvuus koskee puhelimen tunnistautumista langattomaan verkkoon yritysympäristössä. Tietyillä asetuksilla puhelin välittää RADIUS-tunnistautumispalvelimelle käyttäjän kirjautumistiedot selkokielisessä muodossa. Haavoittuvuudelle on julkaistu korjaus, jonka käyttäjät voivat asentaa puhelimiinsa.
Haavoittuvuus koskee MSCHAPv2-tunnistautumista RADIUS-palvelimelle käytettäessä PEAP-protokollaa WPA/WPA Enterprise Wi-Fi-verkoissa.
Vaikka laite on konfiguroitu käyttämään MSCHAPv2-haaste-vaste-protokollaa, haavoittuva laite ei käytä tätä, vaan yrittää kirjautua RADIUS-palvelimelle käyttäen salaamatonta EAP-GTC-protokollaa. Jos RADIUS-palvelin on konfiguroitu hyväksymään tämä, laite välittää käyttäjän kirjautumistiedot selkokielisenä RADIUS-palvelimelle. Haavoittuvuus koskee pääasiassa WPA/WPA2 Enterprise -yritys- ja yhteisöverkkoja, joita on käytössä yritysten lisäksi myös yliopistoissa. Tästä syystä verkkojen ylläpitäjien on syytä tarkistaa palvelinten konfiguraatiot ja muistuttaa verkon käyttäjiä päivityksistä.
Vuonna 2018 julkaistu Nokia 8 Sirocco sai viimeisen virallisen päivityksensä 21.6.2021, mutta Nokia-puhelimia valmistava HMD Global päätti korjata vielä tämän haavoittuvuuden ja korjauspaketti tuli saataville puhelimiin 13.7.2021.
Kyberturvallisuuskeskus välitti haavoittuvuuden tiedoksi HMD Globalille ja haluamme kiittää vielä erikseen haavoittuvuuden löytäjää (Karri Huhtanen).
Kohde
- Matkaviestinjärjestelmät
Hyökkäystapa
- Ilman käyttäjän toimia
Vaikutukset
- Suojauksen ohittaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Korjaava ohjelmistopäivitys
- Ongelman rajoittaminen
Haavoittuvuuden kohde
Nokia 8 Sirocco -puhelimet
Mistä on kysymys?
Asenna 13.7. julkaistu tietoturvapäivitys 00WW_5_14M puhelimesi päivitysvalikosta.
Korjattu haavoittuvuustieto.
Lisätty linkki Nokian päivityssivulle