Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2009 > CERT-FI haavoittuvuustiedote 120/2009

CERT-FI haavoittuvuustiedote 120/2009

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

1.12.2009

Selainpohjaiset SSL-VPN-toteutukset ovat haavoittuvia

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - etäkäyttö
Lisätietoja
Hyväksikäyttö: - luottamuksellisen tiedon hankkiminen
Lisätietoja
Ratkaisu: - ongelman rajoittaminen
Lisätietoja
Useissa erillistä asiakasohjelmaa käyttämättömistä SSL-VPN-toteutuksissa on niiden toimintatavasta johtuva haavoittuvuus. Asiakasohjelmattomalla SSL-VPN-sovelluksella tarkoitetaan esimerkiksi selaimella käytettävää VPN-yhteyttä, jonka kautta pääsee käyttämään yrityksen sisäverkossa olevia palveluja. Tällaisia palveluja voivat olla esimerkiksi yrityksen webmail- ja intranet-sivustot.

Haavoittuvuuden avulla hyökkääjä voi saada haltuunsa muiden, saman suojatun yhteyden kautta avattujen, internetsivujen evästeitä. Hyökkääjä voi myös muokata ja tallentaa selaimen ja jonkin toisen intranetin palvelun välistä http-liikennettä.

Jotta haavoittuvuutta voidaan käyttää hyväksi, hyökkääjän tulee houkutella käyttäjä avaamaan tietyllä tavalla muokattu internetsivu VPN-yhteyden kautta. Tähän voi houkutella esimerkiksi lähettämällä haitalliselle sivustolle johtava linkki sähköpostiviestissä, jonka käyttäjä lukee VPN-yhteyden takana olevalta postipalvelimelta.

HAAVOITTUVAT OHJELMISTOT:

    Haavoittuvuus koskee useita eri VPN-toteutuksia. Tieto eri tuotteiden haavoittuvuudesta löytyy US-CERT:in tiedotteesta.

    Haavoittuvuus ei koske tavallisen SSL-salatun yhteyden (https) käytettäviä www-palveluja, joita normaalit webmailit ja extranetit ovat.

    RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

    Haavoittuvuutta voidaan torjua asentamalla VPN-palvelin niin, ettei sen kautta voi avata muita kuin luotettuja sivustoja, kuten esimerkiksi yrityksen webmail-palvelun ja intranet-sivuston. Muita rajoituskeinoja on mainittu US-CERT:in englanninkielisessä tiedotteessa.

    Haavoittuvuus ei koske pelkän salatun yhteyden eli https:n läpi käytettäviä sivustoja, kuten tavallisia webmail-palveluja ja extranet-sivustoja ovat.

    LISÄTIETOA:

    PÄIVITYSHISTORIA:

    1.12.2009, kello 15.03: Julkaistu

    Sivua päivitetty 01.12.2009   Tulostusversio Tulostusversio