Haavoittuvuuksia palveluiden automaattisessa rekisteröinnissä

Haavoittuvuus20/2018

Joissakin sovelluksissa ja protokollissa käytetään kovakoodattuja verkkotunnuksia esimerkiksi palvelujen ja asetustiedostojen automaattiseen löytämiseen. Kyseisissä toiminnoissa voi esiintyä haavoittuvuuksia kun verkon asiakaslaitteiden nimiä rekisteröidään nimipalveluun automaattisesti. Hyökkääjä voi tehdä väliintulohyökkäyksiä (man in the middle, MitM) rekisteröimällä protokollien käyttämiä nimiä.

Monet verkkolaitteet rekisteröivät laitteiden nimet nimipalveluun kun verkkoon liitytään DHCP-protokollalla. Useat sovellukset kysyvät palvelujen löytämiseen liittyviä verkkotunnuksia multicast DNS:llä. Näissä tapauksissa hyökkääjä voi tehdä väliintulohyökkäyksiä (man in the middle, MitM) nimeämällä laitteensa protokollan käyttämän kovakoodatun nimen mukaisesti. Tällä hetkellä tiedossa olevat haavoittuvat palvelut ovat:

  • Proxy Auto-Configuration (WPAD): Väliintulohyökkäys mahdollinen HTTP-, HTTPS-, ja FTP-protokollissa
  • Intra-Site Automatic Tunnel Addressing Protocol (ISATAP): Väliintulohyökkäys IPv4-verkon sisällä välitetylle IPv6-liikenteelle

Väliintulohyökkääjä voi kuunnella, muokata tai estää protokollaliikennetta, tai yrittää ohittaa salausmenetelmiä tai muita suojauksia. Haavoittuvuus ei vaikuta protokolliin ja toteutuksiin joissa käytetään päästä päähän salausta.

Haavoittuvuuskoordinointi:

Kyberturvallisuuskeskus toimi haavoittuvuuskoordinoijana yhteistyössä haavoittuvuuden löytäjän ja ohjelmistokehittäjien kanssa. Haavoittuvuuden löysivät Ossi Salmi, Mika Seppänen, Marko Laakso ja Kasper Kyllönen Arctic Security Oy:stä. Kyberturvallisuuskeskus kiittää haavoittuvuuden löytäjää, ohjelmistokehittäjiä ja CERT/CC:tä yhteistyöstä.

Kohde

  • Verkon aktiivilaitteet

Hyökkäystapa

  • Etäkäyttö

Vaikutukset

  • Palvelunestohyökkäys
  • Suojauksen ohittaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
  • Ei päivitystä

Haavoittuvat ohjelmistot

Lista haavoittuvista ohjelmistoista on saatavilla CERT/CC:n tiedotteessa.

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä haavoittuvat laitteet valmistajan ohjeen mukaisesti.

Haavoittuvuutta voidaan rajoittaa estämällä palveluiden löytämiseen käytettyjen kovakoodattujen nimien automaattinen rekisteröiminen verkon nimipalveluun. Näitä nimiä ovat ainakin wpad, isatap, autodiscovery ja autoconf.

Haavoittuvuuskoordinoinnin yhteystiedot:

Haavoittuvuuskoordinoinnin tavoittaa seuraavasti:

Sähköposti: vulncoord@ficora.fi

Mainitkaa tapausnumero [FICORA #1038576] viestin otsikossa.

Muut yhteystiedot: CERT-toiminto (Ulkoinen linkki)

Lisätkää postiosoitteeseen sana haavoittuvuuskoordinointi. Suosittelemme PGP- tai SMIME-salauksen käyttöä haavoittuvuuskoordinointiasioita käsiteltäessä. Avaimistomme löytyvät yhteystietojen yhteydestä.

Haavoittuvuuskoordinoinnin periaatteet ovat luettavissa osoitteesta:

https://www.viestintavirasto.fi/attachments/vulncoord/68RKKzUHm/Haavoittuvuuksien_koordinointipolitiikka_1.1.pdf (Ulkoinen linkki)

Lisätietoja

Alkuperäinen haavoittuvuustiedote julkaistu 6.9.2018