Haavoittuvuus IP-pakettien pilkkomisen toteutuksissa
Haavoittuvuus15/2018
Linuxin ja Windowsin TCP/IP-protokollapinoista on löydetty IP-pakettien pilkkomiseen (fragmentation) liittyvä haavoittuvuus. Hyökkääjä voi käyttää haavoittuvuutta hyväksi palvelunestohyökkäyksissä lähettämällä tietyllä tavalla pilkottuja IP-paketteja.
Erilaisia IP-pakettien pilkkomiseen liittyviä hyökkäyksiä on aiemmin löydetty ja korjattu monista järjestelmistä. Nyt löydetyn Linux-käyttöjärjestelmän haavoittuvuuden (CVE-2018-5391) hyväksikäyttö tuli mahdolliseksi, kun pilkottujen IP-pakettien kokoamiseen käytettävän puskurin kokoa suurennettiin.Hyökkääjän on mahdollista täyttää tämä puskuri lähettämällä tietyllä tavalla pilkottuja IP-paketteja, mikä voi aiheuttaa palvelunestotilan. Microsoft tiedotti vastaavan haavoittuvuuden koskevan myös Windows-järjestelmiä.
Haavoittuvuuskoordinointi:
Kyberturvallisuuskeskus toimi haavoittuvuuskoordinoijana yhteistyössä haavoittuvuuden löytäjän ja ohjelmistokehittäjien kanssa. Haavoittuvuuden löysi Juha-Matti Tiili Aalto-yliopiston Tietoliikenne- ja tietoverkkotekniikan laitokselta ja Nokia Bell Labsilta. Haavoittuvuus löytyi samaan aikaan aiemmin elokuussa 2018 julkaistun TCP-segmenttihaavoittuvuuden kanssa. Kyberturvallisuuskeskus kiittää haavoittuvuuden löytäjää, ohjelmistokehittäjiä ja CERT/CC:tä yhteistyöstä.
Kohde
- Muut
- Työasemat ja loppukäyttäjäsovellukset
- Verkon aktiivilaitteet
- Sulautetut järjestelmät
- Matkaviestinjärjestelmät
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Palvelunestohyökkäys
Ratkaisu
- Korjaava ohjelmistopäivitys
- Ongelman rajoittaminen
Haavoittuvat ohjelmistot
- Haavoittuvuus löytyi Linux-käyttöjärjestelmän ytimen versiossa 3.9 ja se on korjattu versioissa 3.18.118, 4.4.146, 4.9.118, 4.14.61, and 4.17.13.
- Kaikki tuetut Windows-versiot
Ratkaisu- ja rajoitusmahdollisuudet
Päivitä haavoittuva järjestelmä korjattuun versioon. Linux-jakelujen käyttäjien osalta suositeltavin tapa tähän on jakelijan tarjoamat päivityspalvelut.
Haavoittuvuuden vaikutuksia voi lieventää rajoittamalla pääsyä haavoittuvaan palveluun. Yksinkertainen rajoituskeino on pienentää IP-pakettien kokoamiseen käytetyn puskurin kokoa. Linux-järjestelmissä se tehdään seuraavasti:
sysctl -w net.ipv4.ipfrag_low_thresh=196608 sysctl -w net.ipv4.ipfrag_high_thresh=262144
Microsoftin tiedotteessa ohjeistetaan pudottamaan väärässä järjestyksessä tulevat paketit seuraavasti:
Netsh int ipv4 set global reassemblylimit=0 Netsh int ipv6 set global reassemblylimit=0
Lisätietoja
Lisätietoa:
- CVE-2018-5391 (Ulkoinen linkki)
- https://www.kb.cert.org/vuls/id/641765 (Ulkoinen linkki)
- https://git.kernel.org/pub/scm/linux/kernel/git/davem/net.git/commit/?id=56e2c94f055d328f5f6b0a5c1721cca2f2d4e0a1 (Ulkoinen linkki)
- https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180022 (Ulkoinen linkki)
Haavoittuvuuskoordinoinnin yhteystiedot:
CERT-FI haavoittuvuuskoordinoinnin tavoittaa seuraavasti:
Sähköposti: vulncoord@ficora.fi
Mainitkaa tapausnumero [FICORA #1052508] viestin otsikossa.
Muut yhteystiedot:
Alkuperäinen haavatiedote julkaistu 15.8.2018