Videresendt varsel fra HelseCERT
NCSC ønsker å videresende følgende varsel fra HelseCERT angående kritiske sårbarheter i flere open source TCP/IP stacks omtalt som AMNESIA:33.
HelseCERT ønsker å varsle om kritiske sårbarheter i flere open source TCP/IP stacks. Sårbarhetene - omtalt som AMNESIA:33 [1] - kan medføre informasjonslekkasje, DNS cache poisoning, tjenestenekt og fjerneksekvering av kode. Estimater fra Forescout viser at over 150 leverandører og flere millioner enheter potensielt er sårbare.
Sårbarhetene er identifisert i TCP/IP-stackene uIP, picoTCP, FNET og Nut/Net, og er mye brukt i "Internet of Things" (IoT)-produkter, i tillegg til produkter som eksempelvis SD-anlegg, IP-kamera, skrivere, nettverksutstyr og UPSer - heretter omtalt som smartenheter.
Oppsummering av AMNESIA:33
- - 4 av de mest kritiske sårbarhetene omhandler fjerneksekvering av kode (CVE-2020-24338, 24336, 25111 og 25112).
- - Et stort antall av sårbarhetene kan utnyttes til tjenestenekt.
- - DNS-komponenten er utnyttet i et flertall av sårbarhetene, spesielt de mest alvorlige. Det samme gjelder IPv6.
I skrivende stund finnes det ikke offisielle oppdateringer for alle TCP/IP-stacks beskrevet i AMNESIA:33. Eksempelvis finnes det ingen offisiell oppdatering for uIP og PicoTCP. Disse har i følge threatpost.com [2] status som "end-of-life" (EOL). Fordi kode fra disse TCP/IP-stackene er benyttet i en rekke ulike løsninger og produkter, er det svært utfordrende å avdekke hvilke enheter som er sårbare.
HelseCERT er ikke kjent med at kode for utnyttelse av disse sårbarhetene er offentlig tilgjengelig. HelseCERT er ikke kjent med at virksomheter i helse- og omsorgssektoren har utstyr med disse sårbarhetene eksponert mot internett eller helsenett.
Anbefaling:
Som en generell anbefaling mot AMNESIA:33 vil HelseCERT påpeke viktigheten av følgende generelle tiltak:
- - Sørg for segmentering av smartenheter, herunder unngå spesielt at slike enheter er eksponert mot internett.
- - Hold smartenheter oppdatert og sørg for at de fremdeles blir vedlikeholdt av leverandør. Om support utløper, ha en plan for utfasing/erstatning.
- - Blokker IPv6 trafikk til smartenheter i den grad dette er mulig.
- - Sørg for at smartenheter kun benytter virksomhetens interne/egne DNS servere. Merk at smartenheter ofte vil forsøke å bruke egne DNS-servere om dette ikke styres.
- - I den grad det er mulig, ha oversikt over hva slags utstyr som er i bruk i virksomheten. Mtp oversikt over smartenheter og sårbarheter i disse finnes det flere leverandører som tilbyr løsninger for dette [3]. HelseCERT har imidlertid ingen erfaring med slike løsninger eller hvor gode de er.
Referanser:
[2] - https://threatpost.com/amnesia33-tcp-ip-flaws-iot-devices/161928/
[3] - https://www.g2.com/categories/iot-security