HelseCERT ønsker å varsle om kritiske sårbarheter i flere open source TCP/IP stacks. Sårbarhetene - omtalt som AMNESIA:33 [1] - kan medføre informasjonslekkasje, DNS cache poisoning, tjenestenekt og fjerneksekvering av kode. Estimater fra Forescout viser at over 150 leverandører og flere millioner enheter potensielt er sårbare.

Sårbarhetene er identifisert i TCP/IP-stackene uIP, picoTCP, FNET og Nut/Net, og er mye brukt i "Internet of Things" (IoT)-produkter, i tillegg til produkter som eksempelvis SD-anlegg, IP-kamera, skrivere, nettverksutstyr og UPSer - heretter omtalt som smartenheter.

Oppsummering av AMNESIA:33

- - 4 av de mest kritiske sårbarhetene omhandler fjerneksekvering av kode (CVE-2020-24338, 24336, 25111 og 25112).

- - Et stort antall av sårbarhetene kan utnyttes til tjenestenekt.

- - DNS-komponenten er utnyttet i et flertall av sårbarhetene, spesielt de mest alvorlige. Det samme gjelder IPv6.

I skrivende stund finnes det ikke offisielle oppdateringer for alle TCP/IP-stacks beskrevet i AMNESIA:33. Eksempelvis finnes det ingen offisiell oppdatering for uIP og PicoTCP. Disse har i følge threatpost.com [2] status som "end-of-life" (EOL). Fordi kode fra disse TCP/IP-stackene er benyttet i en rekke ulike løsninger og produkter, er det svært utfordrende å avdekke hvilke enheter som er sårbare.

HelseCERT er ikke kjent med at kode for utnyttelse av disse sårbarhetene er offentlig tilgjengelig. HelseCERT er ikke kjent med at virksomheter i helse- og omsorgssektoren har utstyr med disse sårbarhetene eksponert mot internett eller helsenett.

Anbefaling:

Som en generell anbefaling mot AMNESIA:33 vil HelseCERT påpeke viktigheten av følgende generelle tiltak:

- - Sørg for segmentering av smartenheter, herunder unngå spesielt at slike enheter er eksponert mot internett.

- - Hold smartenheter oppdatert og sørg for at de fremdeles blir vedlikeholdt av leverandør. Om support utløper, ha en plan for utfasing/erstatning.

- - Blokker IPv6 trafikk til smartenheter i den grad dette er mulig.

- - Sørg for at smartenheter kun benytter virksomhetens interne/egne DNS servere. Merk at smartenheter ofte vil forsøke å bruke egne DNS-servere om dette ikke styres.

- - I den grad det er mulig, ha oversikt over hva slags utstyr som er i bruk i virksomheten. Mtp oversikt over smartenheter og sårbarheter i disse finnes det flere leverandører som tilbyr løsninger for dette [3]. HelseCERT har imidlertid ingen erfaring med slike løsninger eller hvor gode de er.

Referanser:

[1] - https://www.forescout.com/company/resources/amnesia33-identify-and-mitigate-the-risk-from-vulnerabilities-lurking-in-millions-of-iot-ot-and-it-devices/

[2] - https://threatpost.com/amnesia33-tcp-ip-flaws-iot-devices/161928/

[3] - https://www.g2.com/categories/iot-security