CVE-2021-27562

Arm Trusted Firmware

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Arm Trusted Firmware contains an out-of-bounds write vulnerability allowing the non-secure (NS) world to trigger a system halt, overwrite secure data, or print out secure data when calling secure functions under the non-secure processing environment (NSPE) handler mode. This vulnerability affects Yealink Device Management servers.

🛡️
Технический анализ и план устранения

Суть уязвимости

Злоумышленник, имеющий доступ к небезопасному (NS) миру (например, от имени непривилегированного пользователя приложения), может вызвать определенные безопасные функции. Это приводит к ошибке выхода за границы буфера (out-of-bounds write) в обработчике режима небезопасной среды выполнения (NSPE). В результате возможно: * Вызвать остановку (halt) системы, приводящую к отказу в обслуживании (DoS). * Перезаписать защищенные (secure) данные в памяти. * Распечатать защищенные данные, что ведет к утечке информации.

Уязвимость затрагивает серверы управления устройствами Yealink, использующие уязвимую версию Arm Trusted Firmware.

Как исправить

Основной метод — обновление микропрограммы (прошивки) устройства до версии, содержащей исправленную библиотеку Arm Trusted Firmware.

  1. Определите текущую версию прошивки на устройстве Yealink через веб-интерфейс или CLI.
  2. Загрузите и установите патч от производителя устройства. Для серверов управления устройствами Yealink (DM) необходимо обратиться к официальной поддержке Yealink.
    • Конкретные версии патчей зависят от модели устройства и серии прошивки. Исправление было внедрено в Arm Trusted Firmware версии 2.4 и более поздних. Убедитесь, что обновляемая прошивка вашего устройства собрана с исправленной версией TF-A.
    • Примерный порядок действий через веб-интерфейс:
      • Перейдите в раздел обслуживания (Maintenance) -> Upgrade.
      • Загрузите полученный от Yealink файл обновления прошивки (например, yealink-dm-VXX.XX.XX.XX.rom).
      • Запустите процесс обновления и дождитесь перезагрузки устройства.

Временное решение

Если немедленное обновление невозможно, примените меры по изоляции и ограничению доступа к уязвимой системе:

  1. Сетевой контроль доступа:
    • Ограничьте доступ к веб-интерфейсу и служебным портам сервера Yealink DM только с доверенных IP-адресов (например, с сети администраторов) с помощью правил межсетевого экрана. ```bash

    Пример для iptables (Linux-шлюз). Разрешаем доступ только из сети 10.0.1.0/24

    iptables -A INPUT -p tcp --dport 443 -s 10.0.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j DROP ```

  2. Сегментация сети:
    • Поместите сервер Yealink Device Management в изолированный VLAN, не имеющий прямого доступа из интернета или из непроверенных сегментов корпоративной сети.
  3. Мониторинг:
    • Включите детальное логирование всех попыток доступа к интерфейсу управления устройством и отслеживайте подозрительную активность (частые вызовы API, попытки аутентификации).
  4. Минимизация привилегий:
    • Убедитесь, что пользовательские приложения, работающие на устройстве или взаимодействующие с ним, имеют минимально необходимые для работы привилегии.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей