CERT-FI varoitus 01/2008

Vakavan DNS-haavoittuvuuden yksityiskohdat paljastuneet

Merkittävän DNS-haavoittuvuuden yksityiskohdat ovat vuotaneet julkisuuteen ennenaikaisesti.

CERT-FI julkaisi 8.7.2008 haavoittuvuustiedotteen 088/2008 merkittävästä haavoittuvuudesta nimipalvelutoteutuksissa. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi väärentää nimipalvelutietoja ja uudelleenohjata nimipalvelun käyttäjiä haitallisille sivustoille. Haavoittuvuuden yksityiskohdat ovat vuotaneet julkisuuteen ennen 7.8.2008 suunniteltua julkistusta.

Nimipalveluohjelmistot tulisi päivittää ensi tilassa. Osa saatavilla olevista päivityksistä ei ole ohjelmistotoimittajien mukaan vielä lopullisia versioita. Suuria määriä kyselyitä saavien nimipalvelimien osalta on ilmennyt suorituskykyongelmia tai muita teknisiä haasteita.

Haavoittuvuuteen on julkaistu julkinen hyväksikäyttömenetelmä. CERT-FI on saanut ulkomaisista lähteistä raportteja mahdollisesta haavoittuvuuden hyväksikäytöstä. Kotimaisilta toimijoilta ei ole tullut ilmoituksia kasvaneista nimipalvelukuormista tai todennetuista hyökkäyksistä. Hyökkäysten havaitseminen vaatii nimipalvelinten toiminnan aktiivista seurantaa.

VAROITUKSEN KOHDERYHMÄ:

• Nimipalvelinten ylläpitäjät ja käyttäjät

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Nimipalvelinten ylläpitäjien tulee päivittää nimipalveluohjelmistot. Käyttäjille helpoin tapa suojautua on käyttää käyttöjärjestelmän automaattista päivityspalvelua, jos tällainen palvelu on saatavilla. ADSL-modeemeista ja WLAN-tukiasemista on suositeltavaa poistaa nimipalveluominaisuus käytöstä ja asettaa laite käyttämään operaattorin nimipalvelimia.

Teleyritykset voivat rajoittaa haavoittuvuuden vaikutuksia seuraavilla tavoilla:

1) Nimipalvelinohjelmiston päivitys versioon, jossa DNS-kyselyiden lähdeportit on satunnaistettu. Jos nimipalvelimen edessä on osoite- ja porttimuutoksia tekevä ns. NAT/NAPT-laite, on tarkistettava, että se ei poista ohjelmistopäivityksen mukanaan tuomaa satunnaisuutta.

2) Resolverinimipalvelinten konfiguroiminen, siten että rekursiivisia kyselyitä on mahdollista suorittaa ainoastaan teleyrityksen omassa hallinnassa olevista verkoista. Tällöin hyökkäys on mahdollista vain omassa hallinnassa olevasta verkosta. Tämä asetus estää samalla myös nimipalvelimien hyväksikäytön CERT-FI varoituksessa 03/2007 kuvatuissa palvelunestohyökkäyksissä.

3) Verkon konfiguroiminen, siten että nimipalvelimelle ei voi lähettää omassa hallinnassa olevan verkon ulkopuolelta nimipalvelukyselyitä, joihin on väärennetty oman verkon lähdeosoite.

Kohdat kaksi ja kolme tukevat toisiaan. Kohta kolme on yleisestikin hyvin tärkeä suojaustoimenpide ja mainittu myös Viestintäviraston määräyksessä 13/2005 M.

LISÄTIETOA:

• Haavoittuvuustiedote 088/2008
• Tietoturva nyt! 8.7.2008
• Tietoturva nyt! 22.7.2008
• Tietoturva nyt! 23.7.2008
• Tietoturva nyt! 23.7.2008
• Tietoturva nyt! 24.7.2008
• Tietoturva nyt! 29.7.2008
• Tietoturva nyt! 29.7.2008
  
• Dan Kaminskyn blogi
• http://www.provos.org/index.php?/archives/42-DNS-and-Randomness.html

PÄIVITYSHISTORIA:

22.7.2008, kello 12.37: Julkaistu
24.7.2008, kello 10.15: Lisätty tieto hyväksikäyttömenetelmän julkisuudesta
28.7.2008, kello 15.15: Lisätty linkit Tietoturva nyt! -artikkeleihin
29.7.2008, kello 16.45: Lisätty linkki Tietoturva nyt! -artikkeliin
29.7.2008, kello 18.25: Lisätty linkki Tietoturva nyt! -artikkeliin
30.7.2008, kello 17.05: Lisätty teleyrityksille kohdistettua tietoa ratkaisu- ja rajoitusmahdollisuuksiin
31.7.2008, kello 17.05: Lisätty viittaus CERT-FI varoitukseen 03/2007

Sivua päivitetty 31.07.2008

Tulostusversio