Haavoittuvuus IP-pakettien pilkkomisen toteutuksissa

Linuxin ja Windowsin TCP/IP-protokollapinoista on löydetty IP-pakettien pilkkomiseen (fragmentation) liittyvä haavoittuvuus. Hyökkääjä voi käyttää haavoittuvuutta hyväksi palvelunestohyökkäyksissä lähettämällä tietyllä tavalla pilkottuja IP-paketteja.

Erilaisia IP-pakettien pilkkomiseen liittyviä hyökkäyksiä on aiemmin löydetty ja korjattu monista järjestelmistä. Nyt löydetyn Linux-käyttöjärjestelmän haavoittuvuuden (CVE-2018-5391) hyväksikäyttö tuli mahdolliseksi, kun pilkottujen IP-pakettien kokoamiseen käytettävän puskurin kokoa suurennettiin.Hyökkääjän on mahdollista täyttää tämä puskuri lähettämällä tietyllä tavalla pilkottuja IP-paketteja, mikä voi aiheuttaa palvelunestotilan. Microsoft tiedotti vastaavan haavoittuvuuden koskevan myös Windows-järjestelmiä.

Haavoittuvuuskoordinointi:

Kyberturvallisuuskeskus toimi haavoittuvuuskoordinoijana yhteistyössä haavoittuvuuden löytäjän ja ohjelmistokehittäjien kanssa. Haavoittuvuuden löysi Juha-Matti Tiili Aalto-yliopiston Tietoliikenne- ja tietoverkkotekniikan laitokselta ja Nokia Bell Labsilta. Haavoittuvuus löytyi samaan aikaan aiemmin elokuussa 2018 julkaistun TCP-segmenttihaavoittuvuuden kanssa. Kyberturvallisuuskeskus kiittää haavoittuvuuden löytäjää, ohjelmistokehittäjiä ja CERT/CC:tä yhteistyöstä.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Palvelunestohyökkäys
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • Haavoittuvuus löytyi Linux-käyttöjärjestelmän ytimen versiossa 3.9 ja se on korjattu versioissa 3.18.118, 4.4.146, 4.9.118, 4.14.61, and 4.17.13.
  • Kaikki tuetut Windows-versiot

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä haavoittuva järjestelmä korjattuun versioon. Linux-jakelujen käyttäjien osalta suositeltavin tapa tähän on jakelijan tarjoamat päivityspalvelut.

Haavoittuvuuden vaikutuksia voi lieventää rajoittamalla pääsyä haavoittuvaan palveluun. Yksinkertainen rajoituskeino on pienentää IP-pakettien kokoamiseen käytetyn puskurin kokoa. Linux-järjestelmissä se tehdään seuraavasti:

sysctl -w net.ipv4.ipfrag_low_thresh=196608
sysctl -w net.ipv4.ipfrag_high_thresh=262144

Microsoftin tiedotteessa ohjeistetaan pudottamaan väärässä järjestyksessä tulevat paketit seuraavasti:

Netsh int ipv4 set global reassemblylimit=0
Netsh int ipv6 set global reassemblylimit=0

Haavoittuvuuskoordinoinnin yhteystiedot:

CERT-FI haavoittuvuuskoordinoinnin tavoittaa seuraavasti:

Sähköposti: vulncoord@ficora.fi

Mainitkaa tapausnumero [FICORA #1052508] viestin otsikossa.

Muut yhteystiedot:

https://www.viestintavirasto.fi/kyberturvallisuus/viestintavirastontietoturvapalvelut/cert-fi.html

Lisätkää postiosoitteeseen sana haavoittuvuuskoordinointi.CERT-FI suosittelee PGP- tai SMIME-salauksen käyttöä haavoittuvuuskoordinointiasioita käsiteltäessä. Avaimistomme löytyvät yhteystietojen yhteydestä.

CERT-FI:n haavoittuvuuskoordinoinnin periaatteet ovat luettavissa osoitteesta:

https://www.viestintavirasto.fi/attachments/vulncoord/68RKKzUHm/Haavoittuvuuksien_koordinointipolitiikka_1.1.pdf

Lisätietoa:

Päivityshistoria

Asiasanat: Internet , Tietoturva , CERT , Haavoittuvuuskoordinointi , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248