Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittisiä haavoittuvuuksia FreeRTOS-käyttöjärjestelmissä

31. joulukuuta 2018 klo 11.38

Avoimeen lähdekoodiin perustuvan FreeRTOS-reaaliaikakäyttöjärjestelmän yrtimestä on löydetty lukuisia kriittisiä haavoittuvuuksia. Haavoittuvuudet koskevat käyttöjärjestelmän TCP/IP-toteutusta, josta on löydetty yhteensä 13 haavoittuvuutta. Niiden avulla voi suorittaa ohjelmakoodia laitteessa, aiheuttaa palvelunestotilan sekä saada laitteessa olevia tietoja haltuun.

Haavoittuvaa FreeRTOS-käyttöjärjestelmän TCP/IP-toteutusta (Freetos+TCP) käyttää ilmainen Amazon FreeRTOS Ulkoinen verkkopalvelu.. Kaupallisella puolella WITTENSTEIN high integrity systems Ulkoinen verkkopalvelu. -yhtiön ylläpitämien SafeRTOS Ulkoinen verkkopalvelu. sekä OpenRTOS Ulkoinen verkkopalvelu. -käyttöjärjestelmien käyttämä WHIS Connect Ulkoinen verkkopalvelu. TCP/IP -komponentti on myös haavoittuva. Julkisuudessa esiintyneiden tietojen mukaan näitä käyttöjärjestelmiä hyödynnetään yleisesti mm. kulutuselektroniikassa, IoT-laitteissa, lääkinnällisissä laitteissa, ilmailussa ja autoteollisuudessa.

Haavoittuvuus on korjattu elokuussa julkaistussa Amazon FreeRTOS versiossa 1.32. WHIS-yhtiön SafeRTOS ja OpenRTOS -käyttöjärjestelmissä haavoittuvuus on korjattu TCP/IP -komponentin versiossa OpenRTOS TCP/IP v 2.0.1. Yhtiön tiedotteen mukaan asiakkaat jo ovat saaneet tai tulevat saamaan päivitetyn version käyttöönsä lähitulevaisuudessa.

Suosittelemme käymään omat tuotteenne läpi ja päivittämään FreeRTOS-käyttöjärjestelmän uusimpaan versioon. Jos päivittäminen ei ole mahdollista, suosittelemme ottamaan käyttöön muita suojautumismenetelmiä kuten verkkoliikenteen rajoittamista haavoittuvuuksien hyväksikäytön estämiseksi.

Toistaiseksi Kyberturvallisuuskeskuksen tiedossa ei ole, että haavoittuvuuksia olisi pyritty käyttämään hyväksi tai että niihin löytyisi valmiita hyödyntämismenetelmiä. Haavoittuvuuden yksityskohdat tullaan kuitenkin julkaisemaan haavoittuvuuden löytäjien toimesta tämän hetkisen tiedon valossa marraskuun puolivälissä. Tämän jälkeen haavoittuvuuden hyödyntäminen on huomattavasti todennäköisempää.

Haavoittuvuuden kohde

  • FreeRTOS V10.0.1 (with FreeRTOS+TCP) ja aiemmat versiot
  • AWS FreeRTOS V1.3.1 ja aiemmat versiot
  • WHIS OpenRTOS ja SafeRTOS (WHIS Connect TCP/IP -komponentin versio OpenRTOS TCP/IP v 2.0.1)

Mistä on kysymys?

  • Päivitä AWS FreeRTOS versioon 1.3.2 tai sitä uudempaan
  • Päivitä FreeRTOS versioon V10.1.0 tai sitä uudempaan
  • Päivitä WHIS OpenRTOS ja SafeRTOS -käyttöjärjestelmien TCP/IP -komponentti versioon OpenRTOS TCP/IP v 2.0.7 - ota yhteyttä valmistajaan saadaksesi päivityksen.

Mitä voin tehdä?

Sulautetut järjestelmät

Sulautetun järjestelmän muodostavat laite ja sen sisältämä ohjelmisto yhdessä. Kuluttajien käyttämistä laitteista varsin monia voidaan pitää sulautettuina järjestelminä. Esimerkki tällaisesta on digitaalisten tv-lähetysten katselemiseen tarvittava digiboksi.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Palvelunestohyökkäys

Palvelunestohyökkäyksen tarkoituksena on estää kohdejärjestelmää toimimasta siinä tehtävässä mihin se on tarkoitettu. Hyökkäyksen tarkoituksena voi olla esimerkiksi www- tai sähköpostipalvelimen kuormittaminen runsaalla verkkoliikenteellä.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.

31. joulukuuta 2018 klo 11.37 Alkuperäinen haavoittuvuustiedote julkaistu 26.10.2018 30.10.2018 klo 09:29 Lisätty versiotietoja OpenRTOS/SafeRTOS TCP/IP -toteutukseen liittyen.