Haavoittuvuus IP-pakettien pilkkomisen toteutuksissa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Haavoittuvuus IP-pakettien pilkkomisen toteutuksissa

31. joulukuuta 2018 klo 10.38

Linuxin ja Windowsin TCP/IP-protokollapinoista on löydetty IP-pakettien pilkkomiseen (fragmentation) liittyvä haavoittuvuus. Hyökkääjä voi käyttää haavoittuvuutta hyväksi palvelunestohyökkäyksissä lähettämällä tietyllä tavalla pilkottuja IP-paketteja.

Erilaisia IP-pakettien pilkkomiseen liittyviä hyökkäyksiä on aiemmin löydetty ja korjattu monista järjestelmistä. Nyt löydetyn Linux-käyttöjärjestelmän haavoittuvuuden (CVE-2018-5391) hyväksikäyttö tuli mahdolliseksi, kun pilkottujen IP-pakettien kokoamiseen käytettävän puskurin kokoa suurennettiin.Hyökkääjän on mahdollista täyttää tämä puskuri lähettämällä tietyllä tavalla pilkottuja IP-paketteja, mikä voi aiheuttaa palvelunestotilan. Microsoft tiedotti vastaavan haavoittuvuuden koskevan myös Windows-järjestelmiä.

Haavoittuvuuskoordinointi:

Kyberturvallisuuskeskus toimi haavoittuvuuskoordinoijana yhteistyössä haavoittuvuuden löytäjän ja ohjelmistokehittäjien kanssa. Haavoittuvuuden löysi Juha-Matti Tiili Aalto-yliopiston Tietoliikenne- ja tietoverkkotekniikan laitokselta ja Nokia Bell Labsilta. Haavoittuvuus löytyi samaan aikaan aiemmin elokuussa 2018 julkaistun TCP-segmenttihaavoittuvuuden kanssa. Kyberturvallisuuskeskus kiittää haavoittuvuuden löytäjää, ohjelmistokehittäjiä ja CERT/CC:tä yhteistyöstä.

Haavoittuvuuden kohde

  • Haavoittuvuus löytyi Linux-käyttöjärjestelmän ytimen versiossa 3.9 ja se on korjattu versioissa 3.18.118, 4.4.146, 4.9.118, 4.14.61, and 4.17.13.
  • Kaikki tuetut Windows-versiot

Mistä on kysymys?

Päivitä haavoittuva järjestelmä korjattuun versioon. Linux-jakelujen käyttäjien osalta suositeltavin tapa tähän on jakelijan tarjoamat päivityspalvelut.

Haavoittuvuuden vaikutuksia voi lieventää rajoittamalla pääsyä haavoittuvaan palveluun. Yksinkertainen rajoituskeino on pienentää IP-pakettien kokoamiseen käytetyn puskurin kokoa. Linux-järjestelmissä se tehdään seuraavasti:

sysctl -w net.ipv4.ipfrag_low_thresh=196608 sysctl -w net.ipv4.ipfrag_high_thresh=262144

Microsoftin tiedotteessa ohjeistetaan pudottamaan väärässä järjestyksessä tulevat paketit seuraavasti:

Netsh int ipv4 set global reassemblylimit=0 Netsh int ipv6 set global reassemblylimit=0

Mitä voin tehdä?

Lisätietoa:

Haavoittuvuuskoordinoinnin yhteystiedot:

CERT-FI haavoittuvuuskoordinoinnin tavoittaa seuraavasti:

Sähköposti: vulncoord@ficora.fi

Mainitkaa tapausnumero [FICORA #1052508] viestin otsikossa.

Muut yhteystiedot:

https://www.viestintavirasto.fi/kyberturvallisuus/viestintavirastontietoturvapalvelut/cert-fi.html

Muut

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Verkon aktiivilaitteet

Verkon aktiivilaitteilla tarkoitetaan sellaisia laitteita, jotka ovat yleensä tavallisen käyttäjän näkymättömissä, kuten esimerkiksi reitittimet, kytkimet ja palomuurit. Nämä laitteet ja niiden ohjelmistot välittävät tai suodattavat verkkoliikennettä.

Sulautetut järjestelmät

Sulautetun järjestelmän muodostavat laite ja sen sisältämä ohjelmisto yhdessä. Kuluttajien käyttämistä laitteista varsin monia voidaan pitää sulautettuina järjestelminä. Esimerkki tällaisesta on digitaalisten tv-lähetysten katselemiseen tarvittava digiboksi.

Matkaviestinjärjestelmät

Matkaviestinjärjestelmiin luokitellaan kannettavien päätelaitteiden, kuten puhelinten ja dataliikennekorttien lisäksi matkapuhelinverkon laitteet.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Palvelunestohyökkäys

Palvelunestohyökkäyksen tarkoituksena on estää kohdejärjestelmää toimimasta siinä tehtävässä mihin se on tarkoitettu. Hyökkäyksen tarkoituksena voi olla esimerkiksi www- tai sähköpostipalvelimen kuormittaminen runsaalla verkkoliikenteellä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.

31. joulukuuta 2018 klo 10.38 Alkuperäinen haavoittuvuustiedote julkaistu 15.8.2018