Haavoittuvuuksia palveluiden automaattisessa rekisteröinnissä

Haavoittuvuus20/2018

Julkaistu 31.12.2018

Päivitetty 31.12.2018 11:32

Joissakin sovelluksissa ja protokollissa käytetään kovakoodattuja verkkotunnuksia esimerkiksi palvelujen ja asetustiedostojen automaattiseen löytämiseen. Kyseisissä toiminnoissa voi esiintyä haavoittuvuuksia kun verkon asiakaslaitteiden nimiä rekisteröidään nimipalveluun automaattisesti. Hyökkääjä voi tehdä väliintulohyökkäyksiä (man in the middle, MitM) rekisteröimällä protokollien käyttämiä nimiä.

Monet verkkolaitteet rekisteröivät laitteiden nimet nimipalveluun kun verkkoon liitytään DHCP-protokollalla. Useat sovellukset kysyvät palvelujen löytämiseen liittyviä verkkotunnuksia multicast DNS:llä. Näissä tapauksissa hyökkääjä voi tehdä väliintulohyökkäyksiä (man in the middle, MitM) nimeämällä laitteensa protokollan käyttämän kovakoodatun nimen mukaisesti. Tällä hetkellä tiedossa olevat haavoittuvat palvelut ovat:

Proxy Auto-Configuration (WPAD): Väliintulohyökkäys mahdollinen HTTP-, HTTPS-, ja FTP-protokollissa
Intra-Site Automatic Tunnel Addressing Protocol (ISATAP): Väliintulohyökkäys IPv4-verkon sisällä välitetylle IPv6-liikenteelle

Väliintulohyökkääjä voi kuunnella, muokata tai estää protokollaliikennetta, tai yrittää ohittaa salausmenetelmiä tai muita suojauksia. Haavoittuvuus ei vaikuta protokolliin ja toteutuksiin joissa käytetään päästä päähän salausta.

Haavoittuvuuskoordinointi:

Kyberturvallisuuskeskus toimi haavoittuvuuskoordinoijana yhteistyössä haavoittuvuuden löytäjän ja ohjelmistokehittäjien kanssa. Haavoittuvuuden löysivät Ossi Salmi, Mika Seppänen, Marko Laakso ja Kasper Kyllönen Arctic Security Oy:stä. Kyberturvallisuuskeskus kiittää haavoittuvuuden löytäjää, ohjelmistokehittäjiä ja CERT/CC:tä yhteistyöstä.

Kohde

Verkon aktiivilaitteet

Hyökkäystapa

Etäkäyttö

Vaikutukset

Palvelunestohyökkäys
Suojauksen ohittaminen
Tietojen muokkaaminen
Luottamuksellisen tiedon hankkiminen

Ratkaisu

Korjaava ohjelmistopäivitys
Ongelman rajoittaminen
Ei päivitystä

Haavoittuvuuden kohde

Lista haavoittuvista ohjelmistoista on saatavilla CERT/CC:n tiedotteessa.

Mistä on kysymys?

Päivitä haavoittuvat laitteet valmistajan ohjeen mukaisesti.

Haavoittuvuutta voidaan rajoittaa estämällä palveluiden löytämiseen käytettyjen kovakoodattujen nimien automaattinen rekisteröiminen verkon nimipalveluun. Näitä nimiä ovat ainakin wpad, isatap, autodiscovery ja autoconf.

Haavoittuvuuskoordinoinnin yhteystiedot:

Haavoittuvuuskoordinoinnin tavoittaa seuraavasti:

Sähköposti: vulncoord@ficora.fi

Mainitkaa tapausnumero [FICORA #1038576] viestin otsikossa.

Muut yhteystiedot: CERT-toiminto (Ulkoinen linkki)

Lisätkää postiosoitteeseen sana haavoittuvuuskoordinointi. Suosittelemme PGP- tai SMIME-salauksen käyttöä haavoittuvuuskoordinointiasioita käsiteltäessä. Avaimistomme löytyvät yhteystietojen yhteydestä.

Haavoittuvuuskoordinoinnin periaatteet ovat luettavissa osoitteesta:

https://www.viestintavirasto.fi/attachments/vulncoord/68RKKzUHm/Haavoittuvuuksien_koordinointipolitiikka_1.1.pdf (Ulkoinen linkki)

Mitä voin tehdä?

CERT/CC: Vulnerability Note VU#598349. Problems with automatic DNS registration and autodiscovery (Ulkoinen linkki)

31.12.2018 11:32

Alkuperäinen haavoittuvuustiedote julkaistu 6.9.2018