Vakavan DNS-haavoittuvuuden yksityiskohdat paljastuneet

Merkittävän DNS-haavoittuvuuden yksityiskohdat ovat vuotaneet julkisuuteen ennenaikaisesti.

CERT-FI julkaisi 8.7.2008 haavoittuvuustiedotteen 088/2008 merkittävästä haavoittuvuudesta nimipalvelutoteutuksissa. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi väärentää nimipalvelutietoja ja uudelleenohjata nimipalvelun käyttäjiä haitallisille sivustoille. Haavoittuvuuden yksityiskohdat ovat vuotaneet julkisuuteen ennen 7.8.2008 suunniteltua julkistusta.

Nimipalveluohjelmistot tulisi päivittää ensi tilassa. Osa saatavilla olevista päivityksistä ei ole ohjelmistotoimittajien mukaan vielä lopullisia versioita. Suuria määriä kyselyitä saavien nimipalvelimien osalta on ilmennyt suorituskykyongelmia tai muita teknisiä haasteita.

Haavoittuvuuteen on julkaistu julkinen hyväksikäyttömenetelmä. CERT-FI on saanut ulkomaisista lähteistä raportteja mahdollisesta haavoittuvuuden hyväksikäytöstä. Kotimaisilta toimijoilta ei ole tullut ilmoituksia kasvaneista nimipalvelukuormista tai todennetuista hyökkäyksistä. Hyökkäysten havaitseminen vaatii nimipalvelinten toiminnan aktiivista seurantaa.

Varoituksen kohderyhmä

  • Nimipalvelinten ylläpitäjät ja käyttäjät

Ratkaisu- ja rajoitusmahdollisuudet

Nimipalvelinten ylläpitäjien tulee päivittää nimipalveluohjelmistot. Käyttäjille helpoin tapa suojautua on käyttää käyttöjärjestelmän automaattista päivityspalvelua, jos tällainen palvelu on saatavilla. ADSL-modeemeista ja WLAN-tukiasemista on suositeltavaa poistaa nimipalveluominaisuus käytöstä ja asettaa laite käyttämään operaattorin nimipalvelimia.

Teleyritykset voivat rajoittaa haavoittuvuuden vaikutuksia seuraavilla tavoilla:

1) Nimipalvelinohjelmiston päivitys versioon, jossa DNS-kyselyiden lähdeportit on satunnaistettu. Jos nimipalvelimen edessä on osoite- ja porttimuutoksia tekevä ns. NAT/NAPT-laite, on tarkistettava, että se ei poista ohjelmistopäivityksen mukanaan tuomaa satunnaisuutta.

2) Resolverinimipalvelinten konfiguroiminen, siten että rekursiivisia kyselyitä on mahdollista suorittaa ainoastaan teleyrityksen omassa hallinnassa olevista verkoista. Tällöin hyökkäys on mahdollista vain omassa hallinnassa olevasta verkosta. Tämä asetus estää samalla myös nimipalvelimien hyväksikäytön CERT-FI varoituksessa 03/2007 kuvatuissa palvelunestohyökkäyksissä.

3) Verkon konfiguroiminen, siten että nimipalvelimelle ei voi lähettää omassa hallinnassa olevan verkon ulkopuolelta nimipalvelukyselyitä, joihin on väärennetty oman verkon lähdeosoite.

Kohdat kaksi ja kolme tukevat toisiaan. Kohta kolme on yleisestikin hyvin tärkeä suojaustoimenpide ja mainittu myös Viestintäviraston määräyksessä 13/2005 M.

Lisätietoa

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248