VARSEL (TLP:CLEAR)

[NCSC-varsel] Varsel om sårbarheter i utbredte nettverksbiblioteker (AMNESIA:33)

08-12-2020

Kritiske sårbarheter i flere open source TCP/IP stacks. Sårbarhetene - omtalt som AMNESIA:33 [1] - kan medføre informasjonslekkasje, DNS cache poisoning, tjenestenekt og fjerneksekvering av kode. Estimater fra Forescout viser at over 150 leverandører og flere millioner enheter potensielt er sårbare.

 

Sårbarhetene er identifisert i TCP/IP-stackene uIP, picoTCP, FNET og Nut/Net, og er mye brukt i "Internet of Things" (IoT)-produkter, i tillegg til produkter som eksempelvis SD-anlegg, IP-kamera, skrivere, nettverksutstyr og UPSer - heretter omtalt som smartenheter.

 

 

Oppsummering av AMNESIA:33

  • 4 av de mest kritiske sårbarhetene omhandler fjerneksekvering av kode (CVE-2020-24338, 24336, 25111 og 25112).
  • Et stort antall av sårbarhetene kan utnyttes til tjenestenekt.
  • DNS-komponenten er utnyttet i et flertall av sårbarhetene, spesielt de mest alvorlige. Det samme gjelder IPv6.

 

I skrivende stund finnes det ikke offisielle oppdateringer for alle TCP/IP-stacks beskrevet i AMNESIA:33. Eksempelvis finnes det ingen offisiell oppdatering for uIP og PicoTCP. Disse har i følge threatpost.com [2] status som "end-of-life" (EOL). Fordi kode fra disse TCP/IP-stackene er benyttet i en rekke ulike løsninger og produkter, er det svært utfordrende å avdekke hvilke enheter som er sårbare.

 


Anbefaling:

  • Sørg for segmentering av smartenheter, herunder unngå spesielt at slike enheter er eksponert mot internett.
  • Hold smartenheter oppdatert og sørg for at de fremdeles blir vedlikeholdt av leverandør. Om support utløper, ha en plan for utfasing/erstatning.
  • Blokker IPv6 trafikk til smartenheter i den grad dette er mulig.
  • Sørg for at smartenheter kun benytter virksomhetens interne/egne DNS servere. Merk at smartenheter ofte vil forsøke å bruke egne DNS-servere om dette ikke styres.
  • I den grad det er mulig, ha oversikt over hva slags utstyr som er i bruk i virksomheten. Mtp oversikt over smartenheter og sårbarheter i disse finnes det flere leverandører som tilbyr løsninger for dette [3].

 

Referanser:

[1] https://www.forescout.com/company/resources/amnesia33-identify-and-mitigate-the-risk-from-vulnerabilities-lurking-in-millions-of-iot-ot-and-it-devices/

[2] https://threatpost.com/amnesia33-tcp-ip-flaws-iot-devices/161928/

[3] https://www.g2.com/categories/iot-security