CERT-FI haavoittuvuustiedote 088/2008

8.7.2008

Merkittävä haavoittuvuus nimipalvelutoteutuksissa

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset - verkon aktiivilaitteet - matkaviestimet - sulautetut järjestelmät	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- tietojen muokkaaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Tietoturvatutkija Dan Kaminsky on löytänyt tehokkaan hyökkäysmenetelmän, jolla voidaan oikeudettomasti vaikuttaa internet-verkoissa käytettävän nimipalvelun (DNS, Domain Name System) sisältöön. Hyökkäysmenetelmästä on tihkunut tietoja julkisuuteen ennen suunniteltua julkistusajankohtaa, jonka piti alun perin olla 7.8.2008.

Lyhyt kuvaus internetin nimipalvelun toiminnasta

Internetin nimipalvelu koostuu nimipalvelimista ja niitä käyttävistä asiakasohjelmistoista. Tyypillisimmillään nimipalvelimet muuntavat ihmisten ymmärtämiä internet-osoitteita (esimerkiksi www.cert.fi) internet-liikenteen reitityksessä käytettäviksi numeerisiksi IP-osoitteiksi (esimerkiksi edellistä nimeä vastaava 87.239.125.140). Nimipalvelujärjestelmä on laajuutensa johdosta toteutettu hajautetusti, jolloin yksikään nimipalvelin ei voi tietää kaikkia internet-osoitteita. Internet-osoitteet on järjestetty hierarkisesti alkaen internetin juuresta, jota merkitään pisteellä (.), jatkuen ensimmäisen tason verkkotunnusten (esimerkiksi fi. tai com.) kautta toisen tason verkkotunnuksiin (esimerkiksi cert.fi.) ja tarvittaessa syvemmälle.

Nimenselvityksen yhteydessä käyttäjän tietokoneella oleva asiakasohjelmisto ottaa yhteyttä verkon ylläpitäjän osoittamaan nimipalvelimeen. Asiakasohjelmistokomponentti tulee kaikkien nykyaikaisten internet-protokollaa tukevien käyttöjärjestelmien mukana, kun taas nimipalvelin on erityisesti tätä tehtävää varten perustettu tietokone. Mikäli käyttäjän kysymä nimi ei ole entuudestaan nimipalvelimen tiedossa, se ryhtyy tyypillisessä tapauksessa selvittämään sitä asiakasohjelmiston puolesta. Tällaista asiakasohjelmiston ja nimipalvelun yhteistyötä kutsutaan rekursiiviseksi nimenselvitykseksi. Nimipalvelin suorittaa internetin nimihierarkian mukaisesti yhden tai useampia iteratiivisia kyselyitä edeten asteittain internetin juuresta alaspäin päätyen lopulta käyttäjän kysymään nimeen. Jotta järjestelmä ei tarpeettomasti kuormittuisi selvitettäessä toistuvasti suosittujen palveluiden nimiä, nimipalvelimen välimuistiin tallentuu väliaikainen kopio aiemmin kysyttyyn nimeen (tai osoitteeseen) saadusta vastauksesta. Myös asiakasohjelmisto tallentaa saamansa vastauksen alkuperäisen nimipalvelutietueen sisältämän TTL-arvon (Time to Live, tietueesta tehdylle kopiolle määritelty elinaika sekunteina) ajaksi.

Haavoittuvuuden kuvaus

Haavoittuvat nimipalvelutoteutukset ovat alttiita "DNS cache poisoning" -nimellä tunnetulle hyökkäystavalle, jossa sivullinen pystyy syöttämään vääriä tietoja niin kutsutun resolverinimipalvelimen tai nimipalveluasiakasohjelmiston (stub) välimuistiin. Haavoittuvuutta hyödyntävä sivullinen taho voi korvata haluamansa nimipalvelutietueen hyökkäyksen kohteena olevan järjestelmän välimuistista, jolloin kyseisen tietueen mukaista nimeä kysyvät järjestelmät saavat hyväksikäytetyltä palvelimelta vastaukseksi väärennetyn osoitteen.

Vastaavalla tekniikalla hyökkääjän on mahdollista vaikuttaa esimerkiksi hyväksikäytetyn nimipalvelimen vaikutusalueella olevien sähköpostin välityspalvelinten postinreititykseen (MX, Mail Exchanger), tai vaikkapa vaikuttaa internet-pohjaisten puhelinjärjestelmien signalointiliikenteeseen. Ylipäätään kaikki nimipalvelun toimivuudesta ja sieltä saatavien tietojen oikeellisuudesta riippuvat järjestelmät ovat välillisesti vaarassa.

Hyökkääjä voi tietyin edellytyksin kaapata jopa kokonaisia verkkotunnuksia, jolloin uhrien kaikki myöhemmät kyseisiin verkkotunnuksiin kohdistuvat nimenselvityskyselyt ohjataan hyökkääjän hallussa olevaan erehdytystarkoituksessa perustettuun nimipalvelimeen.

Haavoittuvuuteen on julkaistu julkinen hyväksikäyttömenetelmä. Haavoittuvuuden hyväksikäytöstä on olemassa yksittäisiä, joskin vaikeasti todennettavia raportteja.

HAAVOITTUVAT OHJELMISTOT:

Laajempi lista haavoittuvista tuotteista löytyy US-CERT:in haavoittuvuustiedotteesta.

• BIND 8
• BIND 9 ennen korjauksia 9.5.0-P1, 9.4.2-P1, 9.3.5-P1
• GNU libc stub resolver
  
• Windows 2000, XP ja Server 2003 -käyttöjärjestelmät ilman korjausta MS08-037
• Cisco IOS, Cisco Network Registrar, Cisco Application and Content Networking System sekä Cisco Global Site Selector Used in Combination with Cisco Network Registrar: useat eri versiot, tarkista lisätiedoissa annettu Ciscon haavoittuvuustiedote
  
• Juniper: palomuurit jotka käyttävät ScreenOS -ohjelmistoa sekä J-sarjan JunOS Enhanced Services -reitittimet joiden ohjelmiston päiväys on ennen 23.5.2008
• Nixu Secure Name Server ilman BIND -korjausta (9.2.4-28.0.1.el4)
• Bluecoat ProxySG ennen versioita 4.2.8.6, 5.2.4.3, Director ennen versiota 4.2.2.4, 5.2.2.5, PacketShaper ennen versioita 8.3.2, 8.4.0, iShaper ennen versiota 8.3.2, SkyX Gateway ennen versiota 7.0.5, ProxyRA ennen versiota 2.3.2.1
• Nominum CNS ennen versiota 3.0.4.0, Vantio ennen versiota 3.3.1.0
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot ensi tilassa. Laajempi lista haavoittuvista tuotteista löytyy US-CERT:in haavoittuvuustiedotteesta.

Ohjelmistopäivityksen lisäksi erityisesti teleyritysten, hosting-palveluntarjoajien ja yhteisötilaajien on syytä varmistua hallinnoimiensa verkkoympäristöjen suojaamisesta ja nimipalvelinten rekursioasetusten tarkistamisesta CERT-FI Varoituksessa 01/2008 kuvatulla tavalla ja varoituksessa kuvatut sudenkuopat huomioiden.

BIND-ohjelmistoihin liittyviä erityishuomioita

• BIND-ohjelmiston versioon 8 ei ole tulossa päivityksiä. BIND 8 -ohjelmistoa käyttäviä kehotetaan päivittämään korjattuun BIND 9 -ohjelmistoon.
• BIND 9 -ohjelmistoon heinäkuussa 2008 julkaistut korjaukset ovat lukuisten raporttien mukaan aiheuttaneet suorituskykyongelmia sellaisilla palvelimilla jotka käsittelevät yli 10000 kyselyä sekunnissa. Valmistaja suosittelee käyttämään ohjelmistoversioita 9.5.0-P2, 9.4.2-P2 ja 9.3.5-P2 (julkaistu 2.8.2008) tai tuoreempia.
• BIND-ohjelmiston versioiden 9.5.0-P2, 9.4.2-P2 ja 9.3.5-P2 Windows-alustalle tarkoitetut versiot eivät sisältyneet vielä 2.8.2008 julkistukseen.
• BIND-palvelimen suorituskykyä on yritetty parantaa myös BIND 9:n beta-versioissa (9.5.1b1 ja 9.4.3b2 ja tuoreemmat). Betaversioiden käyttämiseen tuotantojärjestelmissä liittyy kuitenkin aina riskejä.

Muita erityishuomioita

• Myös GNU libc stub resolver jäänee ilman päivityksiä. Katso kyseisen ohjelmiston käyttöön liittyvät rajoitusmahdollisuudet lisätiedoista.

LISÄTIETOA:

• US-CERT:n haavoittuvuustiedote sisältäen laajan listan eri nimipalvelinratkaisujen haavoittuvuuksista:
• http://www.kb.cert.org/vuls/id/800113

• BIND -ohjelmistojen haavoittuvuustiedotteet:
• http://www.isc.org/sw/bind/bind-security.php
• BIND 9 -ohjelmiston päivitystiedot:
• http://lists.debian.org/debian-security-announce/2008/msg00184.html
• http://www.isc.org/sw/bind/view/?release=9.5.0-P2
• http://www.isc.org/sw/bind/view/?release=9.4.2-P2
• http://www.isc.org/sw/bind/view/?release=9.3.5-P2
• Tiedote BIND 8 -ohjelmiston tuen loppumisesta:
• http://lists.debian.org/debian-security-announce/2008/msg00185.html
• Rajoitusmahdollisuudet koskien GNU libc stub resolveria:
• http://lists.debian.org/debian-security-announce/2008/msg00186.html
• Microsoftin haavoittuvuustiedote:
• http://www.microsoft.com/technet/security/bulletin/MS08-037.mspx
• Ciscon haavoittuvuustiedote:
• http://www.cisco.com/warp/public/707/cisco-sa-20080708-dns.shtml
• Juniperin haavoittuvuustiedote:
• https://www.juniper.net/alerts/viewalert.jsp?actionBtn=Search&txtAlertNumber=PSN-2008-06-040&viewMode=view
• Nixun haavoittuvuustiedote:
• http://www.nixusoftware.com/wordpress/?m=200807
• Applen haavoittuvuustiedote:
• http://support.apple.com/kb/HT2647
• Bluecoatin haavoittuvuustiedote:
• http://www.bluecoat.com/support/security-advisories/dns_cache_poisoning
• Nominumin haavoittuvuustiedote:
• http://www.nominum.com/asset_upload_file741_2661.pdf
• Nortelin haavoittuvuustiedote:
• http://support.nortel.com/go/main.jsp?cscat=BLTNDETAIL&id=762152
• Citrixin haavoittuvuustiedote:
• http://support.citrix.com/article/CTX118183
• CVE-2008-1447, CVE-2008-1454

PÄIVITYSHISTORIA:

8.7.2008, kello 21.53: Julkaistu
8.7.2008, kello 22.34: Päivitetty tiedotetta Juniperin tuotteiden osalta
9.7.2008, kello 10.06: Korjattu Microsoft -haavoittuvuustiedotteen numero ja tiedotelinkki
22.7.2008, kello 12.50: Lisätty tieto hyökkäysmenetelmän julkisuudesta sekä korjausmahdollisuuksista
23.7.2008, kello 08.30: Päivitetty tiedotetta Nixun tuotteiden osalta
24.7.2008, kello 10.15: Lisätty tieto hyväksikäyttömenetelmän julkisuudesta
25.7.2008, kello 11.45: Tarkennettu tiedotetta Juniperin tuotteiden osalta
1.8.2008, kello 11.00: Lisätty viittaus Applen tiedotteeseen
2.8.2008, kello 16.40: Lisätty tieto BIND-nimipalvelimen 9-sarjan suorituskykyongelmat korjaavan P2-päivitystason julkaisemisesta. Lisätty maininta verkkoympäristön suojaamisen tärkeydestä ohjelmistopäivitysten ohella. Kirjoitettu haavoittuvuuden kuvausosio uudestaan.
5.8.2008, kello 18.00: Lisätty viittaus Bluecoatin ja Nominumin tiedotteisiin, sekä USCERT:in haavoittuvat tuotteet -listaan.
1.9.2008, kello 16.30: Lisätty viittaus Nortelin tiedotteeseen.
2.9.2008, kello 13.30: Lisätty viittaus Citrixin tiedotteeseen.

Sivua päivitetty 03.09.2008

Tulostusversio