CERT-FI:n lausunto Outpost24-tietoturvayhtiön raportoimista TCP-heikkouksista

Versiotiedot

CERT-FI tapausnumero #193744
CVE-numero: CVE-2008-4609
Julkaistu 17. lokakuuta 2008 17.00
Päivitetty 8. syyskuuta 2009
Versio 1.5 (arkistoversio)

Tapaus on julkaistu CERT-FI:n haavoittuvuustiedotteessa https://www.cert.fi/haavoittuvuudet/2008/tcp-haavoittuvuudet.html.

Yhteenveto

Haavoittuvuudet ovat tietojärjestelmistä löydettyjä virheitä, jotka voivat mahdollistaa esimerkiksi järjestelmän palvelutasoon vaikuttamisen tai jopa tietojärjestelmään murtautumisen. TCP (Transmission Control Protocol) on verkon yhteysmenettely, jota käytetään tiedonsiirtoon useimmissa verkon sovelluksissa, muun muassa verkkosivujen siirrossa palvelimelta selaimelle.

https://www.cert.fi/haavoittuvuudet.html

https://www.ficora.fi/index/palvelut/palvelutaiheittain/tietoturva/tietoverkkohyokkaykset.html

Outpost24-tietoturvayhtiö toi vuoden 2008 lokakuussa julkisuuteen TCP-protokollatoteutusten ja TCP-protokollaa käyttävien sovellusten haavoittuvuuksia. Haavoittuvuuksien yksityiskohtia ei kuitenkaan julkaistu tällöin. CERT-FI koordinoi haavoittuvuuden vaikutusten selvittämistä, mahdollisia korjaustoimia ja julkaisua yhdessä ohjelmistovalmistajien ja haavoittuvuuden löytäjän kanssa. Lisätietoja haavoittuvuuksista julkaistaan vastuullisen haavoittuvuusjulkaisuprosessin periaatteiden mukaisesti.

Haavoittuvuuksien vaikutusten ja vakavuuden arviointi on pääasiassa suoritettu. Valmistajat, joiden tuotteiden on todettu olevan haavoittuvia ovat, korjausprosessin eri vaiheissa. Lisäksi haavoittuvuuksia rajoittavia tekijöitä on selvitetty. Tämänhetkisen tilanteen perusteella vaikuttaa siltä, että korjaukset tullaan julkaisemaan kuluvan vuoden aikana.Haavoittuvuuksien yksityiskohtia ei ole julkaistu. CERT-FI on jakanut haavoittuvuuksista tietoa ohjelmistovalmistajille, jotta nämä ovat voineet tutkia haavoittuvuustilanteen omien tuotteidensa osalta ja tarvittaessa aloittaa korjausten tuottamisen. Seuraavat haavoittuvuuksien ominaispiirteet on kuitenkin julkisesti vahvistettu:

Haavoittuvuudet perustuvat kohteen TCP-yhteysjonon täyttämiseen hyökkäysliikenteellä, jolloin kohteeseen syntyy palvelunestotila.
Haavoittuvuuksia voidaan hyväksikäyttää suhteellisen pienellä liikennemäärällä.
Joillain testitapauksilla tiettyjen toteutusten on todettu joutuvan pitkäaikaiseen tai pysyvään palvelunestotilaan.
Haavoittuvuuksien hyväksikäyttö vaatii onnistuneen TCP-kättelyn. Tästä syystä hyökkäyksien torjuminen lähdeosoitetason suodatuksella on mahdollista.

CPNI (Ison-Britannian kansallisen infrastruktuurin turvaamiseen keskittyvä organisaatio, http://www.cpni.gov.uk/) julkaisi helmikuussa 2009 TCP-protokollan turvallisuutta käsittelevän dokumentin, jossa esitetään ohjeita turvallisen TCP-protokollan toteutuksen luomiseen. Ohje on saatavilla osoitteesta:

http://www.cpni.gov.uk/Products/technicalnotes/Feb-09-security-assessment-TCP.aspx

Koordinoinnin eteneminen

17.10.2008: CERT-FI on ollut yhteydessä eri verkkolaitetyyppien, käyttöjärjestelmien ja verkkosovellusten keskeisiin valmistajiin ja toimittanut näille tarpeelliset tiedot, jotta tapauksen vaikutuksia erityyppisiin laitteisiin ja verkkosovelluksiin voidaan arvioida. Kun lisätietoa eri laite- ja ohjelmistotyyppien alttiudesta saadaan, CERT-FI ottaa yhteyttä laajemmin yhteyttä ohjelmistovalmistajiin. Aiemmat kokemukset samankaltaisista haavoittuvuuskoordinointiprojekteista ovat osoittaneet, että näin laajavaikutteisien tapausten koordinointi voi viedä aikaa. Arvioimme tämän tapauksen yksityiskohtien julkistamisen tapahtuvan vuoden 2009 puolella. CERT-FI tiedottaa tapauksen koordinnoinnin etenemisestä syksyn ja talven aikana aikana.

23.3.2009: CERT-FI on ollut yhteydessä useisiin ohjelmistovalmistajiin. Valmistajat, joiden tuotteiden on todettu olevan haavoittuvia, ovat eri vaiheissa tuottamassa korjauksia. Tämänhetkisen tilanteen perusteella vaikuttaa siltä, että korjaukset tullaan julkaisemaan kuluvan vuoden aikana.

1.6.2009: CERT-FI on ottanut TCP-tapaukseen liittyen yhteyttä 65 valmistajaan, joista 38:n kanssa on työskennelty aktiivisesti. Osa valmistajista on jo saanut luotua haavoittuvuuksiin korjaukset, mutta osalla luotettavan korjausmenetelmän luominen on yhä kesken. CERT-FI:n tarkoituksena on julkaista haavoittuvuudet koordinoidusti, jolloin lopullisesta julkaisupäivämäärästä ei ole vielä tässä vaiheessa varmuutta.

15.6.2009: Phrack-lehden numerossa #66 julkaistiin artikkeli (http://www.phrack.com/issues.html?issue=66&id=9#article), joka käsittelee TCP Persist Timer -ajastimen hyväksikäyttöä palvelunestohyökkäyksissä. Artikkeli käsittelee samaa aihepiiriä kuin Outpost24:n raportoimat TCP-protokollan toteutuksien heikkoudet, mutta eroaa yksityiskohdiltaan. Edellä mainittu Phrack-lehden artikkelijulkaisu ei vaikuta Outpost24:n raportoiman tapauksen koordinointiin eikä aikatauluun. CERT-FI korostaa, että Outpost24:n raportoiman tapauksen julkaisu tulee tapahtumaan koordinoidusti ja vastuullisen haavoittuvuusjulkaisuprosessin mukaisesti.

8.9.2009: CERT-FI julkaisi haavoittuvuuksista tiedotteen.

Yhteystiedot

CERT-FI haavoittuvuuskoordinoinnin tavoittaa seuraavasti:

Sähköposti:vulncoord@ficora.fi
Mainitkaa tapausnumero viestin otsikossa.

Puhelin:
09 6966 510
Maanantai - Perjantai 08.00 - 16.15

Faksi:
+358 9 6966 515

Posti:
Haavoittuvuuskoordinointi
Viestintävirasto/CERT-FI
PL 313
00181 Helsinki

CERT-FI suosittelee PGP- tai SMIME-salauksen käyttöä haavoittuvuuskoordinointiasioita käsiteltäessä. Avaimistomme löytyvät osoitteesta:https://www.cert.fi/palvelut/yhteystiedot/rooliavaimet.html

Versiohistoria

17.10.2008, kello 17.00: Julkaistu (1.1)
23.3.2009, kello 18.00: Tilannepäivitys koordinointiprosessin etenemisestä (1.2)
2.6.2009, kello 15.00: Tilannepäivitys koordinointiprosessin etenemisestä (1.3)
15.6.2009, kello 16.00: Tilannepäivitys Phrack-lehden TCP-aiheisen artikkelin tiimoilta (1.4)
8.9.2009, kello 23.04: Lisätty maininta tiedotteesta, ja siirretty lausunto arkistoon (1.5)

Sivua päivitetty 16.09.2009

Tulostusversio