Myös Telian ja Elisan verkoissa haavoittuvia kaapelimodeemeita – korjaukset työn alla - Tietoturva - Ilta-Sanomat

Myös Telian ja Elisan verkoissa haavoittuvia kaapelimodeemeita – korjaukset työn alla

Telia ja Elisa korjaavat kaapelimodeemeissaan olevat haavoittuvuudet kilpailija DNA:n tapaan.

Telia ja Elisa korjaavat kaapelimodeemeissaan olevat haavoittuvuudet kilpailija DNA:n tapaan.

Julkaistu: 16.1. 14:10, Päivitetty 16.1. 14:14

Kaapelimodeemeissa pesivä Cable Haunt -haavoittuvuus koskee kaikkia Suomen kolmea suurta teleoperaattoria.

Myös Telialla ja Elisalla on teleoperaattori DNA:n lisäksi Cable Haunt -haavoittuvuuden riivaamia kaapelimodeemeita verkossaan.

Ilta-Sanomat Digitoday kertoi eilen, että jopa satoja miljoonia kaapelimodeemeita koskee muun muassa laitteen tai nettiliikenteen kaappaamisen mahdollistava tietoturva-aukko.

Myös Telia ja Elisa ovat aloittaneet korjaustoimenpiteet.

Telian tietoturva-asiantuntija Osmo Soinion mukaan Telian verkossa on ”tuhansia” modeemeita, joita haavoittuvuus koskee.

– Meillä on vanhoja laitteita, joille tehdään teknisiä rajoitteita, joilla estetään Broadcomin ohjelmassa olevan aukon hyväksikäyttö. Puoleen modeemeista saadaan ohjelmistopäivitys tehtyä, Soinio sanoo.

Teknisillä rajoitteilla tarkoitetaan laitteiden toimintaa ohjaavien uusien konfiguraatiotiedostojen viemistä laitteille. Nämä tukkivat portin, jonka kautta haavoittuvuutta on mahdollista hyödyntää.

Telia alkaa tehdä korjauksia. Uudet laitteet päivittyvät automaattisesti Telian verkkoon kytkettäessä, jos niissä on haavoittuvaista koodia. Jotkut laitteet saattavat vaatia uudelleenkäynnistyksen korjausten saattamiseksi voimaan.

Kilpailija DNA ilmoitti aloittavansa vastaavat korjaukset tämän viikon aikana.

Elisa sanoo ryhtyneensä ”välittömiin toimenpiteisiin” Cable Haunt -haavoittuvuuden tultua julki.

– Elisa on selvittänyt, että arvion mukaan haavoittuvuus koskee vain murto-osaa Elisan verkossa olevista kaapelimodeemeista. Uusien toimitettavien kaapelimodeemien osalta ohjelmiston haavoittuvuus on korjattu, Elisan tietoturvajohtaja Teemu Mäkelä kertoo.

Teleoperaattori kertoo olleensa yhteyksissä laitetoimittajiin. Yhtiö menettelee samalla tavalla kuin kilpailijansa, eli estää haavoittuvuuden hyväksikäytön konfiguraatiotiedostoja muuttamalla, jos laitteisiin ei ole päivityksiä saatavilla.

– Elisa päivittää ohjelmistoversiot ja konfiguraatiot verkon kautta, eikä asiakkaalta tarvita toimenpiteitä, Mäkelä toteaa.

Tuoreimmat osastosta