Haavoittuvuus IP-pakettien pilkkomisen toteutuksissa

Haavoittuvuus15/2018

Linuxin ja Windowsin TCP/IP-protokollapinoista on löydetty IP-pakettien pilkkomiseen (fragmentation) liittyvä haavoittuvuus. Hyökkääjä voi käyttää haavoittuvuutta hyväksi palvelunestohyökkäyksissä lähettämällä tietyllä tavalla pilkottuja IP-paketteja.

Erilaisia IP-pakettien pilkkomiseen liittyviä hyökkäyksiä on aiemmin löydetty ja korjattu monista järjestelmistä. Nyt löydetyn Linux-käyttöjärjestelmän haavoittuvuuden (CVE-2018-5391) hyväksikäyttö tuli mahdolliseksi, kun pilkottujen IP-pakettien kokoamiseen käytettävän puskurin kokoa suurennettiin.Hyökkääjän on mahdollista täyttää tämä puskuri lähettämällä tietyllä tavalla pilkottuja IP-paketteja, mikä voi aiheuttaa palvelunestotilan. Microsoft tiedotti vastaavan haavoittuvuuden koskevan myös Windows-järjestelmiä.

Haavoittuvuuskoordinointi:

Kyberturvallisuuskeskus toimi haavoittuvuuskoordinoijana yhteistyössä haavoittuvuuden löytäjän ja ohjelmistokehittäjien kanssa. Haavoittuvuuden löysi Juha-Matti Tiili Aalto-yliopiston Tietoliikenne- ja tietoverkkotekniikan laitokselta ja Nokia Bell Labsilta. Haavoittuvuus löytyi samaan aikaan aiemmin elokuussa 2018 julkaistun TCP-segmenttihaavoittuvuuden kanssa. Kyberturvallisuuskeskus kiittää haavoittuvuuden löytäjää, ohjelmistokehittäjiä ja CERT/CC:tä yhteistyöstä.

Kohde

  • Muut
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Sulautetut järjestelmät
  • Matkaviestinjärjestelmät
  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Palvelunestohyökkäys

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot

  • Haavoittuvuus löytyi Linux-käyttöjärjestelmän ytimen versiossa 3.9 ja se on korjattu versioissa 3.18.118, 4.4.146, 4.9.118, 4.14.61, and 4.17.13.
  • Kaikki tuetut Windows-versiot

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä haavoittuva järjestelmä korjattuun versioon. Linux-jakelujen käyttäjien osalta suositeltavin tapa tähän on jakelijan tarjoamat päivityspalvelut.

Haavoittuvuuden vaikutuksia voi lieventää rajoittamalla pääsyä haavoittuvaan palveluun. Yksinkertainen rajoituskeino on pienentää IP-pakettien kokoamiseen käytetyn puskurin kokoa. Linux-järjestelmissä se tehdään seuraavasti:

sysctl -w net.ipv4.ipfrag_low_thresh=196608
sysctl -w net.ipv4.ipfrag_high_thresh=262144

Microsoftin tiedotteessa ohjeistetaan pudottamaan väärässä järjestyksessä tulevat paketit seuraavasti:

Netsh int ipv4 set global reassemblylimit=0
Netsh int ipv6 set global reassemblylimit=0

Lisätietoja

Haavoittuvuuskoordinoinnin yhteystiedot:

CERT-FI haavoittuvuuskoordinoinnin tavoittaa seuraavasti:

Sähköposti: vulncoord@ficora.fi

Mainitkaa tapausnumero [FICORA #1052508] viestin otsikossa.

Muut yhteystiedot:

https://www.viestintavirasto.fi/kyberturvallisuus/viestintavirastontietoturvapalvelut/cert-fi.html (Ulkoinen linkki)

Alkuperäinen haavatiedote julkaistu 15.8.2018