Haavoittuvuuksia palveluiden automaattisessa rekisteröinnissä

Joissakin sovelluksissa ja protokollissa käytetään kovakoodattuja verkkotunnuksia esimerkiksi palvelujen ja asetustiedostojen automaattiseen löytämiseen. Kyseisissä toiminnoissa voi esiintyä haavoittuvuuksia kun verkon asiakaslaitteiden nimiä rekisteröidään nimipalveluun automaattisesti. Hyökkääjä voi tehdä väliintulohyökkäyksiä (man in the middle, MitM) rekisteröimällä protokollien käyttämiä nimiä.

Monet verkkolaitteet rekisteröivät laitteiden nimet nimipalveluun kun verkkoon liitytään DHCP-protokollalla. Useat sovellukset kysyvät palvelujen löytämiseen liittyviä verkkotunnuksia multicast DNS:llä. Näissä tapauksissa hyökkääjä voi tehdä väliintulohyökkäyksiä (man in the middle, MitM) nimeämällä laitteensa protokollan käyttämän kovakoodatun nimen mukaisesti. Tällä hetkellä tiedossa olevat haavoittuvat palvelut ovat:

  • Proxy Auto-Configuration (WPAD): Väliintulohyökkäys mahdollinen HTTP-, HTTPS-, ja FTP-protokollissa
  • Intra-Site Automatic Tunnel Addressing Protocol (ISATAP): Väliintulohyökkäys IPv4-verkon sisällä välitetylle IPv6-liikenteelle

Väliintulohyökkääjä voi kuunnella, muokata tai estää protokollaliikennetta, tai yrittää ohittaa salausmenetelmiä tai muita suojauksia. Haavoittuvuus ei vaikuta protokolliin ja toteutuksiin joissa käytetään päästä päähän salausta.

Haavoittuvuuskoordinointi:

Kyberturvallisuuskeskus toimi haavoittuvuuskoordinoijana yhteistyössä haavoittuvuuden löytäjän ja ohjelmistokehittäjien kanssa. Haavoittuvuuden löysivät Ossi Salmi, Mika Seppänen, Marko Laakso ja Kasper Kyllönen Arctic Security Oy:stä. Kyberturvallisuuskeskus kiittää haavoittuvuuden löytäjää, ohjelmistokehittäjiä ja CERT/CC:tä yhteistyöstä.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Verkon aktiivilaitteet
Lisätietoa +

Hyökkäystapa

  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen
  • Palvelunestohyökkäys
  • Suojauksen ohittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
  • Ei päivitystä
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

Lista haavoittuvista ohjelmistoista on saatavilla CERT/CC:n tiedotteessa.

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä haavoittuvat laitteet valmistajan ohjeen mukaisesti.

Haavoittuvuutta voidaan rajoittaa estämällä palveluiden löytämiseen käytettyjen kovakoodattujen nimien automaattinen rekisteröiminen verkon nimipalveluun. Näitä nimiä ovat ainakin wpad, isatap, autodiscovery ja autoconf.

Haavoittuvuuskoordinoinnin yhteystiedot:

Haavoittuvuuskoordinoinnin tavoittaa seuraavasti:

Sähköposti: vulncoord@ficora.fi

Mainitkaa tapausnumero [FICORA #1038576] viestin otsikossa.

Muut yhteystiedot: CERT-toiminto

Lisätkää postiosoitteeseen sana haavoittuvuuskoordinointi. Suosittelemme PGP- tai SMIME-salauksen käyttöä haavoittuvuuskoordinointiasioita käsiteltäessä. Avaimistomme löytyvät yhteystietojen yhteydestä.

Haavoittuvuuskoordinoinnin periaatteet ovat luettavissa osoitteesta:

https://www.viestintavirasto.fi/attachments/vulncoord/68RKKzUHm/Haavoittuvuuksien_koordinointipolitiikka_1.1.pdf

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuuskoordinointi , Modeemi , Reititys , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248