IP-in-IP protokollan toteutuksissa haavoittuvuuksia
Haavoittuvuus17/2020
Verkon yli toimiva hyökkääjä voi IP-in-IP protokollan toteutuksissa olevaa haavoittuvuutta hyväksikäyttäen reitittää liikennettä haavoittuvien laitteiden kautta, saaden aikaan hajautetun palvelunestohyökkäyksen tai ohittaa asetettuja rajoitus- ja turvamekanismeja. Joissakin tapauksissa haavoittuva laite voi myös uudelleenkäynnistyä hyökkäyksen seurauksena ja joutua palvelunestotilaan. Osa laitevalmistajista on julkaissut korjaavan ohjelmistoversion sekä rajoitustoimia haavoittuvuuden hyväksikäytön estämiseksi.
Korjaus 4.6.2020: Korjattu Samsung-tulostimien valmistajaksi HP Inc eikä Hewlett Packard Enterprise.
Tietoturvatutkija löysi haavoittuvuuden (CVE-2020-10136) IP-in-IP protokollan toteutuksista, joka on hyväksikäytettävissä lähettämällä verkon yli tietyllä tavalla muotoiltuja IP-paketteja laitteen verkkoliityntään. Haavoittuvuus mahdollistaa hyökkääjälle keinon luoda esimerkiksi hajautettu palvelunestohyökkäys tai ohittaa laitteisiin määriteltyjä verkkoliikenteen turva- ja rajoitusmekanismeja. Haavoittuvuus pohjautuu joidenkin laitteiden IP-in-IP -protokollan toteutuksissa olevaan datankäsittelyvirheeseen, jonka johdosta ulomman IP-paketin sisään kapseloidun sisemmän IP-paketin tarkastus tehdään vajavaisesti jolloin se saattaa sisältää haitalista ja muussa tapauksessa estettyä liikennettä.
Haavoittuvuuteen on esitetty kaksi käytännön hyväksikäyttömenetelmää: hajautettu palvelunestohyökkäys ja tiedonkeruu haavoittuvan laitteen välityksellä.
Hajautetussa palvelunestohyökkäyksessä hyökkääjä lähettää haavoittuville laitteille haitallisia IP-in-IP paketteja, jolloin haavoittuva laite välittää hyökkäysliikennettä hyökkäyksen kohteen osoitteeseen omasta osoitteestaan. Haavoittuvan hyökkäysliikennettä välittävän laitteen osoitteen ollessa kohdelaitteen sallittujen listalla, ei kohdelaitteen esto- ja rajoitusmekanismit estä hyökkääjän kierrättämiä paketteja. Laajasti käytettynä tämä mahdollistaa hajautetun palvelunestohyökkäyksen toteuttamisen ja kohteena olevan palvelun käytön estymisen.
Toisessa esitetyssä hyökkäystavassa hyökkääjä ohittaa kohdelaitteen verkkoliikenteen estolistan kierrättämällä liikennettä haavoittuvan laitteen kautta, joka on sallittujen listalla. Tällöin hyökkääjä voi kerätä tietoa kohteestaan tiettyjen protokollien, kuten esimerkiksi SNMP-protokollan avulla.
Kohde
- Verkon aktiivilaitteet
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman kirjautumista
Vaikutukset
- Palvelunestohyökkäys
- Suojauksen ohittaminen
Hyväksikäyttömenetelmä tiedossa
- Haavoittuvuuden havainnollistava esimerkkikoodi
Ratkaisu
- Korjaava ohjelmistopäivitys
- Ongelman rajoittaminen
Haavoittuvuuden kohde
HP Inc
Samsung X3220NR -printterit firmware versiot V3.00.09 - V3.00.11
Digi International
WR11,WR21,WR31,WR41 ja WR44 mobiilireitittimet.
Treck
Vanhemmat versiot kuin 6.0.1.66
Cisco
Nexus 1000 Virtual Edge for VMware vSphere (CSCvu10050)
Nexus 1000V Switch for Microsoft Hyper-V (CSCvt67738)
Nexus 1000V Switch for VMware vSphere (CSCvt67738)
Nexus 3000 Series Switches (CSCun53663)1
Nexus 5500 Platform Switches (CSCvt67739)
Nexus 5600 Platform Switches (CSCvt67739)
Nexus 6000 Series Switches (CSCvt67739)
Nexus 7000 Series Switches (CSCvt66624)
Nexus 9000 Series Switches in standalone NX-OS mode (CSCun53663)1
UCS 6200 Series Fabric Interconnects (CSCvu03158)
UCS 6300 Series Fabric Interconnects (CSCvt67740)
Mistä on kysymys?
HP Inc ei ole julkaissut haavoittuvuuteen korjausta.
Digi International julkaisu päivityksen 23. toukokuuta SAROS VERSION 8.1.0.1 (Bootloader 7.67).
Treck versiopäivityksessä 6.0.1.49, RFC4213, valmistaja poisti automaattisen tunneloinnin ja IPv4-yhteensopivien osoitteiden käytön sekä poisti oletuksena olleen Anycast-osoitteen.
Cisco on julkaissut päivityksen joka korjaa haavoittuvuuden.
Mitä voin tehdä?
https://kb.cert.org/vuls/id/636397 (Ulkoinen linkki)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-ipip-dos-kCT9X4#fs (Ulkoinen linkki)
https://www.digi.com/resources/security (Ulkoinen linkki)
https://www.tenable.com/blog/cve-2020-10136-ip-in-ip-packet-processing-vulnerability-could-lead-to-ddos-network-access (Ulkoinen linkki)