Iso ja vaarallinen aukko löytyi maailman nimipalvelutoteutuksista

Julkaistu: , Päivitetty:

Tietoturvatutkija Dan Kaminsky on löytänyt tehokkaan hyökkäysmenetelmän ip-verkoissa käytettävän DNS-nimipalveluun vaikuttamiseen, kertoo Viestintäviraston tietoturvayksikkö CERT-FI.
Haavoittuvat nimipalvelutoteutukset ovat alttiita tehokkaalle DNS cache poisoning -hyökkäykselle, jossa hyökkääjä pystyy syöttämään vääriä tietoja nimipalvelimen tai nimipalveluasiakasohjelmiston välimuistiin. Hyökkäyksen avulla hyökkääjä voi ohjata haavoittuvassa nimipalvelimessa tai asiakasohjelmistossa tietyn domainnimen osoittamaan haluamaansa Iip-osoitteeseen.

CERT-FI:n mukaan hyökkäysmenetelmää ei ole vielä julkistettu. Julkistus on odotettavissa todennäköisesti kuukauden sisällä. Useat eri ohjelmisto- ja laitevalmistajat ovat julkaisseet tai julkaisemassa päivityksiä nimipalveluohjelmistoihinsa.

CERT-FI kertoo, että haavoittuvat ohjelmistot ovat BIND 8, BIND 9 ennen korjauksia 9.5.0-P1, 9.4.2-P1, 9.3.5-P1, Windows 2000, XP ja Server 2003 -käyttöjärjestelmät ilman korjausta MS08-037, Cisco IOS:n useat versiot ja GNU libc stub resolver. Lisäksi listalla ovat palomuurit, jotka käyttävät ScreenOS -ohjelmistoa, sekä JunOS-ohjelmistolla varustetut reitittimet ja kytkimet, joiden ohjelmiston päiväys on ennen 23.5.2008

Viestintäviraston tietoturvayksikön mukaan todennäköisesti liki kaikki DNS-nimipalvelua tukevat palvelin- ja asiakasohjelmistot vaativat päivityksen.

BIND 8 -nimipalveluohjelmistolle ei ole tulossa päivitystä. BIND 8 -ohjelmistoa käyttäviä kehoitetaan päivittämään pikaisesti korjattuun BIND 9 -ohjelmistoon


Haavoittuvuus vaikuttaa
poikkeuksellisen laajakirjoisesti



CERT-FI mukaan nyt esiin tullut nimipalvelun haavoittuvuus on ehkä eräs monivaikutteisimmista haavoittuvuustapauksista viime vuosien aikana. Toimiva, oikeita vastauksia antava nimipalvelu on eräs tärkeimmistä internet-peruspalveluista. Nimipalvelu (DNS, Domain Name Service) ohjaa muun muassa www-sivujen domainnimien muunnosta ip-osoitteiksi sekä sähköpostin reititystä.

Nimipalvelun virheellinen toiminta voi helposti jäädä huomaamatta. Www-selain ei anna varoitusta, jos salaamaton sivulataus ohjautuukin vihamieliselle palvelimelle.


Nimipalvelun toiminnassa tarvittavia ohjelmisto-osia on käytännössä kaikissa verkon osissa työasemista palvelimiin. Myös reitittimissä, palomuureissa, roskapostisuodattimissa - kaikissa verkkkokomponenteissa joiden täytyy pystyä muuntamaan domainnimi verkko-osoitteeksi - on jonkinlainen DNS-toiminto.

Tämänhetkisten tietojen perusteella lähes kaikki nämä ohjelmistot vaativat CERT-FI:n mukaan lähiviikkojen aikana päivityksen. Etenkin kaikki palveluntarjoajien ja yritysten resolver-nimipalvelimet on ehdottomasti tarkistettava ja tarvittaessa päivitettävä.


Haavoittuvuuteen liittyvien ohjelmistopäivitysten koordinointi on hoidettu ohjelmisto- ja laitevalmistajien keskuudessa esimerkillisen hyvin. Tieto on pysynyt pienessä piirissä ennen sovittua julkaisuhetkeä ja kaikki tärkeimmät ohjelmistot ovat todennäköisesti saaneet tarvittavat päivitykset. Sulautettujen järjestelmien päivitystarve on mielenkiintoinen selvitettävä kysymys. CERT-FI tulee seuraamaan päivitystilannetta tiiviisti.


Haavoittuvuuden hyödyntämismenetelmä tulee todennäköisesti julkisuuteen kuukauden sisällä.

Kommentit

    Näytä lisää