Nokia 8 Sirocco-telefoner: fix för sårbarhet i WPA/WPA2 Enterprise-nätverk | Traficom
Hoppa till huvudinnehåll
Cybersäkerhetscentret
Anmäl kränkningar
Anmäl kränkningar
Anmäl kränkningar

Nokia 8 Sirocco-telefoner: fix för sårbarhet i WPA/WPA2 Enterprise-nätverk

17. augusti 2021 kl 14:16

Sårbarheten gäller Wi-Fi-autentisering i företagsnät. Med vissa inställningar förmedlar mobiltelefonen användarens användarnamn och lösenord till autentiseringsservern RADIUS som klartext. En korrigering har publicerats för att fixa sårbarheten. Användare kan ladda ned och installera korrigeringen i sina telefoner.

Sårbarheten gäller MSCHAPv2-autentiseringen för RADIUS-servrar när man använder PEAP-protokollet i WPA/WPA2 Enterprise Wi-Fi-nätverk.

Även om telefonen är konfigurerad att använda MSCHAPv2-challenge-responseprotokollet försöker sårbarheten få den logga in på en RADIUS-server med det okrypterade EAP-GTC-protokollet. Om RADIUS-servern är konfigurerad att acceptera protokollet, förmedlar apparaten användarens inloggningsuppgifter till RADIUS-servern som klartext. Sårbarheten gäller främst WPA/WPA2 Enterprise-nät som används hos företag och organisationer och även vid universitet. Nätverksadministratörer bör därför kontrollera sina serverkonfigurationer och påminna användare av nätet om uppdateringar.

Telefonen Nokia 8 Sirocco offentliggjordes år 2018 och fick dess sista officiella uppdatering den 21 juni 2021. HMD Global, som tillverkar Nokia-telefoner, beslöt dock att ännu korrigera denna sårbarhet. Korrigeringspaketet blev tillgängligt den 13 juli 2021.

Cybersäkerhetscentret informerade HMD Global om sårbarheten. Vi vill särskilt tacka Karri Huhtanen som hittade sårbarheten och rapporterade den.

Föremål for sårbarhet

Nokia 8 Sirocco-telefoner

Vad handlar det om?

Installera säkerhetsuppdateringen  00WW_5_14M (publicerad den 13 juli) från din telefons uppdateringsmeny.

Nokia Smartphone Security Maintenance Release Summary

Mobilkommunikationssystem

Bärbar terminalutrustning, såsom telefoner och datakort samt utrustning i mobilnätet klassificeras som mobilkommunikationssystem.

Utan användarens medverkan

En attack som görs utan användarens medverkan riktar sig direkt till sårbarheten utan att användaren av systemet bidrar till att attacken ska lyckas. Användaren behöver till exempel inte bläddra i www-sidor eller starta ett program på datorn, utan attacken lyckas utan användarens hjälp.

Att förbigå säkerheten

Syftet med blockeringsattacken är att förhindra att målsystemet fungerar så som det är avsett för. Syftet med attacken kan till exempel vara att överbelasta en www- eller e-postserver med en stor mängd nätverkstrafik.

Anskaffning av konfidentiell information

Anskaffning av konfidentiell information från målsystemet förutsätter att systemets datainnehåll, till exempel filer sparade på hårddisken, kan läsas utan tillstånd och förmedlas vidare.

Ej publicerad

Sårbarhetens användningsgrad är inte känd

Korrigerande programuppdatering

En program- eller utrustningstillverkare offentliggör i allmänhet snart en ny version eller en partiell uppdatering av programmet eller operativsystemet efter det att sårbarheten blivit känd. Uppdateringen kan finnas tillgänglig samtidigt som sårbarheten offentliggörs, men ofta får man vänta ett tag.

Problembegränsning

Även om en korrigering till sårbarheten inte alltid finns tillgänglig, kan sårbarhetens verkningar oftast begränsas till exempel genom att tillfälligt avstå från att använda en viss egenskap eller genom att begränsa nätverkstrafik till målsystemet på ett lämpligt sätt.