Haavoittuvuuksia palveluiden automaattisessa rekisteröinnissä

Joissakin sovelluksissa ja protokollissa käytetään kovakoodattuja verkkotunnuksia esimerkiksi palvelujen ja asetustiedostojen automaattiseen löytämiseen. Kyseisissä toiminnoissa voi esiintyä haavoittuvuuksia kun verkon asiakaslaitteiden nimiä rekisteröidään nimipalveluun automaattisesti. Hyökkääjä voi tehdä väliintulohyökkäyksiä (man in the middle, MitM) rekisteröimällä protokollien käyttämiä nimiä.

Monet verkkolaitteet rekisteröivät laitteiden nimet nimipalveluun kun verkkoon liitytään DHCP-protokollalla. Useat sovellukset kysyvät palvelujen löytämiseen liittyviä verkkotunnuksia multicast DNS:llä. Näissä tapauksissa hyökkääjä voi tehdä väliintulohyökkäyksiä (man in the middle, MitM) nimeämällä laitteensa protokollan käyttämän kovakoodatun nimen mukaisesti. Tällä hetkellä tiedossa olevat haavoittuvat palvelut ovat:

Proxy Auto-Configuration (WPAD): Väliintulohyökkäys mahdollinen HTTP-, HTTPS-, ja FTP-protokollissa
Intra-Site Automatic Tunnel Addressing Protocol (ISATAP): Väliintulohyökkäys IPv4-verkon sisällä välitetylle IPv6-liikenteelle

Väliintulohyökkääjä voi kuunnella, muokata tai estää protokollaliikennetta, tai yrittää ohittaa salausmenetelmiä tai muita suojauksia. Haavoittuvuus ei vaikuta protokolliin ja toteutuksiin joissa käytetään päästä päähän salausta.

Haavoittuvuuskoordinointi:

Kyberturvallisuuskeskus toimi haavoittuvuuskoordinoijana yhteistyössä haavoittuvuuden löytäjän ja ohjelmistokehittäjien kanssa. Haavoittuvuuden löysivät Ossi Salmi, Mika Seppänen, Marko Laakso ja Kasper Kyllönen Arctic Security Oy:stä. Kyberturvallisuuskeskus kiittää haavoittuvuuden löytäjää, ohjelmistokehittäjiä ja CERT/CC:tä yhteistyöstä.

Haavoittuvuuden kohde

Lista haavoittuvista ohjelmistoista on saatavilla CERT/CC:n tiedotteessa.

Mistä on kysymys?

Päivitä haavoittuvat laitteet valmistajan ohjeen mukaisesti.

Haavoittuvuutta voidaan rajoittaa estämällä palveluiden löytämiseen käytettyjen kovakoodattujen nimien automaattinen rekisteröiminen verkon nimipalveluun. Näitä nimiä ovat ainakin wpad, isatap, autodiscovery ja autoconf.

Haavoittuvuuskoordinoinnin yhteystiedot:

Haavoittuvuuskoordinoinnin tavoittaa seuraavasti:

Sähköposti: vulncoord@ficora.fi

Mainitkaa tapausnumero [FICORA #1038576] viestin otsikossa.

Muut yhteystiedot: CERT-toiminto

Lisätkää postiosoitteeseen sana haavoittuvuuskoordinointi. Suosittelemme PGP- tai SMIME-salauksen käyttöä haavoittuvuuskoordinointiasioita käsiteltäessä. Avaimistomme löytyvät yhteystietojen yhteydestä.

Haavoittuvuuskoordinoinnin periaatteet ovat luettavissa osoitteesta:

https://www.viestintavirasto.fi/attachments/vulncoord/68RKKzUHm/Haavoittuvuuksien_koordinointipolitiikka_1.1.pdf

Mitä voin tehdä?

CERT/CC: Vulnerability Note VU#598349. Problems with automatic DNS registration and autodiscovery

Verkon aktiivilaitteet

Verkon aktiivilaitteilla tarkoitetaan sellaisia laitteita, jotka ovat yleensä tavallisen käyttäjän näkymättömissä, kuten esimerkiksi reitittimet, kytkimet ja palomuurit. Nämä laitteet ja niiden ohjelmistot välittävät tai suodattavat verkkoliikennettä.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Palvelunestohyökkäys

Palvelunestohyökkäyksen tarkoituksena on estää kohdejärjestelmää toimimasta siinä tehtävässä mihin se on tarkoitettu. Hyökkäyksen tarkoituksena voi olla esimerkiksi www- tai sähköpostipalvelimen kuormittaminen runsaalla verkkoliikenteellä.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.

Ei päivitystä

Haavoittuvuuden tultua julki ei korjausta siihen ole välttämättä heti saatavilla. Kohdejärjestelmät ovat alttiita haavoittuvuuden hyväksikäytölle jos niiden suojaamiseksi ei ryhdytä toimenpiteisiin.