Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2008 > CERT-FI:n tiedote Outpost24-tietoturvayhtiön raportoimista TCP-heikkouksista

CERT-FI:n tiedote Outpost24-tietoturvayhtiön raportoimista TCP-heikkouksista

Kohde
 - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
- verkon aktiivilaitteet
- matkaviestinjärjestelmät
- sulautetut järjestelmät
- muut
Hyökkäystapa - etäkäyttö
Hyväksikäyttö - palvelunestohyökkäys
Ratkaisu
 - korjaava ohjelmistopäivitys
- ongelman rajoittaminen

Yksityiskohdat


Tässä tiedotteessa kuvattujen haavoittuvuuksien vaikutukset kohdistuvat järjestelmiin ja sovelluksiin, joissa on käytössä TCP-protokollan (RFC793 ym.) toteutus. Haavoittuvuudet on löydetty Outpost24-nimisen tietoturvayhtiön Sockstress-testaustyökalulla.

Sockstress on TCP-toteutuksien testaukseen tarkoitettu rasitustestaustyökalu, joka kykenee avaamaan suuren määrän TCP-yhteyksiä. Sockstress-työkalu hyödyntää hyökkäyksissään kohdejärjestelmän TCP-toteutuksen ajastimiin ja muistinvarausmekanismeihin liittyviä heikkouksia. Haavoittuvuuksia voidaan hyväksikäyttää suhteellisen pienellä liikennemäärällä. Haavoittuvuuksien hyväksikäyttö vaatii onnistuneen TCP-kättelyn. Tästä syystä hyökkäyksien torjuminen lähdeosoitetason suodatuksella on mahdollista.

Sockstress-työkalun lopullisia vaikutuksia eri tuotteisiin tutkitaan vielä. Lisätiedot-osiossa mainittu artikkeli "Security Assessment of the Transmission Control Protocol (TCP)" käsittelee tämän haavoittuvuustiedotteen aihepiiriä, mutta ei sisällä yksityiskohtaisia kuvauksia tai testaustuloksia hyökkäyksien vaikutuksista eri valmistajien tuotteisiin.

Haavoittuvuuksien vaikutukset


Sockstress-työkalun avulla löydettyjen haavoittuvuuksien onnistunut hyväksikäyttö johtaa kaikissa tapauksissa palvelunestotilaan. Palvelunestotilan kesto ja laajuus riippuvat kohdesovelluksesta ja kohteen käyttöjärjestelmästä. Vaikutukset voidaan jakaa kolmeen luokkaan:

1.) Tilapäinen palvelunestovaikutus sovellukseen

CVSS-vektori ja pisteet: AV:N/AC:M/Au:N/C:N/I:N/A:P - 4.3

Sovellus ei hyväksy yhteyksiä palvelun käyttäjiltä hyökkäyksen ollessa käynnissä. Tila on väliaikainen ja sovelluksen toimintakyky palaa ennalleen heti hyökkäyksen loputtua.

2.) Pysyvä palvelunestovaikutus sovellukseen

CVSS-vektori ja pisteet: AV:N/AC:M/Au:N/C:N/I:N/A:P - 4.3

Sovellus ei hyväksy yhteyksiä palvelun käyttäjiltä hyökkäyksen oltua hetken käynnissä. Sovelluksen toimintakyky palautuu vasta sovelluksen uudelleenkäynnistyksen jälkeen.

3.) Pysyvä palvelunestovaikutus käyttöjärjestelmään

CVSS-vektori ja pisteet: AV:N/AC:M/Au:N/C:N/I:N/A:C - 7.1

Käyttöjärjestelmä ei kykene palvelemaan sovelluksia eikä järjestelmä ole käytettävissä hyökkäyksen oltua hetken käynnissä. Järjestelmän toimintakyky palautuu vasta käyttöjärjestelmän uudelleenkäynnistyksen jälkeen.

Haavoittuvuuksien vakavuusarvio


Haavoittuvuuksien vakavuus vaihtelee CVSS-pisteytyksessä arvosta 4,3 (keskiverto vakavuus) arvoon 7,1 (vakava). Vakavuus riippuu palvelunestotilan pysyvyydestä ja laajuudesta, mikä vaihtelee valmistajittain. Tarkimmat tiedot eri valmistajien tilanteesta saa Valmistajakohtaiset tiedot -osioista tai ottamalla yhteyttä ohjelmistovalmistajaan.

Jos hyökkääjä kykenee aiheuttamaan kohteeseen pysyvästi tiettyyn TCP-tilaan jääneitä yhteyksiä, kohdesovelluksen yhteysjono täyttyy nopeasti ja kohteena oleva palvelu ajautuu tilaan, jossa tavallisten käyttäjien palvelu estyy. Monissa tapauksissa hyökkäykset ovat myös kuluttaneet huomattavasti käyttöjärjestelmän muisti-, ajastin- ja jonoresursseja, jolloin näitä resursseja ei enää riitä uusien TCP-yhteyksien käyttöön. Osa järjestelmistä käynnistyy automaattisesti uudelleen käyttöjärjestelmän resurssien loppuessa hyökkäyksen tuloksena, osa puolestaan ajautuu tilaan, jossa käyttöjärjestelmä jumiutuu.

Järjestelmissä, joissa hyökkäyksellä on mahdollista aiheuttaa pysyvä palvelunestotila koko käyttöjärjestelmään, yksittäisen palvelun saattaminen palvelunestotilaan tapahtuu joissain tapauksissa hyvin lyhyessä ajassa. Koko käyttöjärjestelmän saattaminen palvelunestotilaan kestää tyypillisesti useampia minuutteja tai jopa tunteja riippuen käytettävissä olevista resursseista ja muista seikoista. Kuten useimpien palvelunestohyökkäystekniikoiden kohdalla, myös Sockstress-työkaluun sisällytettyjä hyökkäyksia voi tehostaa hyökkäämällä useammasta IP-osoitteesta.

Haavoittuvuuskoordinointi


CERT-FI on koordinoinut haavoittuvuuden julkaisun haavoittuvuuden löytäjän ja ohjelmistovalmistajien välillä. CERT-FI kiittää Jack C. Louisia ja Robert E. Leetä Sockstress-työkalun ja siihen liittyvän informaation saattamisesta CERT-FI:n ja ohjelmistovalmistajien saataville. CERT-FI kiittää myös projektiin osallistuneita ohjelmistovalmistajia yhteistyöstä ja JPCERT/CC:tä tapauksen koordinoinnista japanilaisten ohjelmistovalmistajien kanssa.

Haavoittuvat ohjelmistot (ohjelmistovalmistajien lausunnot englanniksi):


Microsoft


VMware

  • VMware products are not vulnerable.


Cisco


CheckPoint


Juniper

  • Juniper Networks received the Sockstress tool and executed testing on all our platforms. We have found no unexpected or adverse impact to our equipment which is different from other types of TCP Denial of Service (DOS). When the Sockstress DOS attack is removed, Juniper systems recover normally. Given that Sockstress is not a new 'class' of TCP attacks, existing Best Common Practices (BCPs) used to protect Juniper products from TCP based DOS attacks are the best investment of time. Juniper Security Advisory is PSN-2008-10-041 and can be found at https://www.juniper.net/alerts/viewalert.jsp?actionbtn=Search&txtalertnumber=PSN-2008-10-041. Access is via Entitled Disclosure. Please contact Juniper SIRT Team at sirt@juniper.net for any questions on this or other feasible vulnerabilities and risk to Juniper Network's products and services.


Clavister

  • We can report that the TCP stack in our Security Gateway products are not affected by these vulnerabilities.


Red Hat

Sun Microsystems

Wind River

Fortinet

  • We can report that the TCP stack in our Fortigate products are not affected by these vulnerabilities.
Aruba
  • During our internal testing, we did not find the services on ArubaOS vulnerable to majority of the DoS attacks mentioned in CERT-FI's advisory. However we have made some performance specific changes to one component of ArubaOS which seemed affected by one class of DoS attacks. These changes have been included in AOS 3.4.X, AOS 3.3.1.31, AOS 3.3.2.20, AOS 3.3.3.1, AOS 3.3.2.18-FIPS and AOS 3.3.2.18-RN-3.1.2 patch releases, which are available from Aruba's support site for download. Aruba recommends that you upgrade your ArubaOS to these patches for your respective releases.
    https://airheads.arubanetworks.com/article/arubaos-exposure-cert-fi-advisory-outpost24-tcp-issues
McAfee
Symantec
Bluecoat
Nortel
NetApp
  • NetApp has determined that each of the products as referenced is NOT vulnerable to the Outpost24 issues.

    Data ONTAP versions 5.4+, 6.x, 7.x, 8.0, 10.0.x
    NetCache 5.2+, 6.0.x, 6.1.x
    Datafort
F5

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä haavoittuvat komponentit valmistajan ohjeen mukaisesti. Valmistajakohtaisia tietoja korjauksista on listattu haavoittuvat ohjelmistot -osioon.

Hyökkäys vaatii TCP-yhteyden muodostamisen, minkä vuoksi hyökkäyksessäkäytettyjä lähdeosoitteita ei voi väärentää. Toistaiseksi tehokkain keino rajoittaa haavoittuvuuden vaikutuksia on rajoittaa pääsyä reitittimiin ja kriittisiin palvelimiin. Sisääntulevien yhteyksien määrien rajoitus pakottaa hyökkääjän käyttämään useampia IP-osoitteita hyökkäyksissä. Lisätiedoissa mainittu CPNI-artikkeli sisältää lisätietoja TCP-protokollaan liittyvien haavoittuvuuksien rajoitusmahdollisuuksista.

Lisätietoa


Yhteystiedot


CERT-FI haavoittuvuuskoordinoinnin tavoittaa seuraavasti:

Sähköposti:
vulncoord@ficora.fi
Mainitkaa tapausnumero [FICORA #193744] viestin otsikossa.

Puhelin:
09 6966 510
Maanantai - Perjantai
08.00 - 16.15

Faksi:
+358 9 6966 515

Posti:
Haavoittuvuuskoordinointi
Viestintävirasto/CERT-FI
PL 313
00181 Helsinki

CERT-FI suosittelee PGP- tai SMIME-salauksen käyttöä haavoittuvuuskoordinointiasioita käsiteltäessä. Avaimistomme löytyvät osoitteesta:
https://www.cert.fi/palvelut/yhteystiedot/rooliavaimet.html

Versiohistoria

8.9.2009, kello 20.00: Julkaistu
10.9.2009, kello 11.00: Lisätty viittaus Sun Microsystemsin tiedotteeseen
15.9.2009, kello 17.30: Lisätty Wind Riverin lausunto
18.9.2009, kello 14.45: Lisätty Fortinetin lausunto
22.9.2009, kello 14.30: Lisätty Aruban lausunto
30.9.2009, kello 17.30: Lisätty viittaus McAfeen tiedotteeseen
7.10.2009, kello 11.10: Lisätty viittaus Stonesoftin tiedotteeseen
21.10.2009, kello 15.00: Lisätty viittaukset Bluecoatin ja Nortelin tiedotteisiin
24.11.2009, kello 09.55: Lisätty viittaus US-CERT:in tiedotteeseen
18.12.2009, kello 18.09: Lisätty NetApp:in lausunto
5.2.2010, kello 16.57: Lisätty viittaus F5:n tiedotteeseen

Sivua päivitetty 05.02.2010   Tulostusversio Tulostusversio