TigerTeam - suomalainen tietoturvablogi

Tietoturvaorganisaatio SANS on julkaissut uuden version 25 vaarallisinta ohjelmointivirhettä käsittävästä dokumentistaan. Lista julkaistiin nyt toista kertaa.

Dokumentti on huomattavasti viimevuotista yksityiskohtaisempi ja sen julkaisua edelsi myös lähes 30 organisaatioon tehty taustakysely.

Viralliselta nimeltään CWE/SANS Top 25 Most Dangerous Programming Errors 2010 -niminen lista on osoitteessa cwe.mitre.org/top25/index.html.

CWE – olen kuullut CVE:stä, onko niillä jotain yhteistä?

Ennen tehtyihin muutoksiin perehtymistä kertaamme mitä lyhenne CWE tarkoittaa. CWE-luokitusjärjestelmän lyhenne tulee sanoista Common Weakness Enumeration ja sillä tarkoitetaan eräänlaista standardia, jolla tietoturvaheikkoudet luokitellaan ohjelmointivirheen mukaan. Mm. haavoittuvuustietokantoja ylläpitävät toimijat voivat luokitella uudet, listaamansa haavoittuvuudet tiettyyn CWE-luokkaan. Näin tietystä ohjelmointivirheestä tai esimerkiksi arkkitehtuuriongelmasta johtuvia haavoittuvuuksia on helpompi käsitellä omina kokonaisuuksinaan. Luokitus kertoo myös tarkemmin mistä haavoittuvuus teknisesti johtuu.

Otetaanpa esimerkiksi tämän kuun Microsoft-päivityksissä korjattu SMB Client -haavoittuvuus. Kun haavoittuvuus sai CVE-yksilöintitunnuksen CVE-2010-0017 annettiin sille pienellä viiveellä myös CWE-luokka. Luokan voi tarkistaa National Vulnerability Database -tietokannasta, joka sisältää kaikki CVE-tunnukset. Tietokannassa CWE-luokka on merkitty Technical Details -osiossa kohtaan Vulnerability Type.

Esimerkkitapauksessa CWE-luokka on Top 25 -listalta löytyvä CWE-362.

Kovakoodaus juoruaa salasanan suoraan koodista

Viime vuoden listalla ollut CWE-119 (Failure to Constrain Operations within the Bounds of a Memory Buffer) on korvattu CWE-luokilla 120, 129, 131 ja 805, jotka liittyvät puskuriylivuotoon ja puskurin koon virheelliseen määrittelyyn. Tästä virheestä johtuvat haavoittuvuudet ovatkin hyvin yleisiä mm. mediasoittimissa. Haavoittuvuudet ovat miltei aina kriittisiä ja niitä löytyy usein.

Luokka Ohjelmistoihin pysyvästi koodatut eli kovakoodatut salasanat (CWE-259 - Hard-Coded Password) puolestaan on korvattu yleispätevämmällä luokalla. Uuden listan luokka Kovakoodattujen kirjautumistunnisteiden käyttö (alkuperäinen nimi Use of Hard-coded Credentials) tuntee tunnuksen CWE-798.

Kovakoodaus tarkoittaa mm. käyttäjätunnusten ja salasanojen sisällyttämistä suoraan ohjelmiston lähdekoodiin. Mikäli ohjelmistossa on luokan CWE-798 ohjelmointivirhe, ei ohjelmistoon ainoastaan pystyy kirjautumaan oletussalasanalla, vaan ohjelmisto käyttää myös omiin tietovirtoihinsa koodiin kirjoitettuja salasanoja. Tällainen ohjelmointivirhe voi löytyä esimerkiksi valvontakameroiden hallintaliittymää pyörittävästä ohjelmistosta. Salasana ei ole helposti vaihdettavissa ja tämä lisää riskiä ulkopuolisen hyökkääjän kirjautumiseen oletussalasanalla.

Jättiloikkia suojautumiseen

Täysin uutta listalla on myös Monster Mitigations -osio – linkki tuohon osioon. Sen tarkoituksena on yleisellä tasolla estää heikkouksien päätymistä ohjelmakoodiin - eikä tämä koske ainoastaan Top 25 -listan heikkouksia. Esimerkkinä mainittakoon kohta M4, jonka tarkoituksena on ohjata tuottamaan koodia, jota kuka tahansa pystyy lukemaan. Melkoinen haaste!

Jäikö tästä lyhennemaailmasta vielä hieman epäselvä kuva? Pureuduimme näihin CV-alkuisiin lyhenteisiin blogissa myös viime keväänä.

Juha-Matti Laurio toimii Nixussa tietoturvakonsulttina ja Tiger Team -blogiin kirjoittaessaan pyrkii avaamaan kimurantteja tietoturvatermejä ja -lyhenteitä suomen kielelle fingelskaa välttäen.

Kerroimme noin kuukausi sitten CWE-luokitustunnuksista (Common Weakness Enumeration), joita käytämme myös asiakkaillemme toimittamissamme raporteissa.

Tunnuksien ylläpitäjä MITRE Corporation on yhdessä SANS-instituutin kanssa luonut vuoden alussa CWE/SANS Top 25 Most Dangerous Programming Errors -luettelon, joka listaa 25 vaarallisinta ohjelmointivirhettä. Listaa kokoamassa on ollut hyvin huomattava määrä turva-alan yrityksiä ja toimijoita, mm. NSA ja Yhdysvaltain sisäisen turvallisuuden virasto DHS.

Uusi dokumentti julkaistaan aina vuosittain ja se myös päivittyy matkan varrella. Uusimmat muutokset koskevat ns. lieventämiskeinoja sekä hyökkäystapojen kuvausta. Dokumentissa käytetään myös uusimman CWE 1.4 -version mukaisia nimiä. Lisäksi Mitre kertoo lisänneensä CWE-sivustolle useita uusia esimerkkejä, jotka havainnollistavat ohjelmointivirheen luonnetta.

Itse Top 25 -dokumentti sijaitsee helposti muistettavassa osoitteessa cwe.mitre.org/top25/.

Kerroimme viime viikon lopulla Adobe Acrobatia ja Adobe Readeria koskevista nollapäivähaavoittuvuuksista. Valmistaja vahvisti viikonloppuna paikkauksen julkaisuaikataulun – korjaus saapuu 12. toukokuuta mennessä eli noin viikon kuluttua.

Myös CVE-tunnukset noille kahdelle haavoittuvuudelle on julkaistu. getAnnots()-haavoittuvuus on CVE-2009-1492 ja customDictionaryOpen()-haavoittuvuus taas CVE-2009-1493.

Jokainen haavoittuvuuksiin vähänkin enemmän perehtynyt on törmännyt Common Vulnerabilities and Exposures -yhtenäistystunnuksiin, joita jaetaan tuhansia vuosittain. Tunnuksille annetaan pienellä viiveellä myös sen vakavuutta kuvaava numeroarvo asteikolla 0.0 – 10.0. Pisteytysjärjestelmä tuntee nimen Common Vulnerability Scoring System ja siitä käytetään lyhennettä CVSS. Voidaan puhua myös CVSS-pisteytyksestä.

NVD- eli National Vulnerability Database -tietokannan sisältämä ensin mainitun haavoittuvuuden CVSS-arvo on korkeimpaan High-luokkaan kuuluva 9.3.

Haavoittuvuuksille on jo parin vuoden ajan annettu myös haavoittuvuuden aiheuttaneen ohjelmointivirheen tyyppiä kuvaava CWE-luokitus – Common Weakness Enumeration. Luokka on tässä tapauksessa järjestelmäresurssien hallinnassa tapahtunut virhe tunnuksella 399.

Edellä mainituista jälkimmäinen Adobe Acrobat -aukko eli käyttäjän omiin sanastoihin liittyvä haavoittuvuus puolestaan kuuluu CVSS-arvonsa perusteella keskitasolle arvolla 6.8.

Käytämme CVE-, CVSS- ja CWE-tunnuksia ja -arvoja myös asiakkaille toimittamissamme raporteissa.

Uusia CVE-tunnuksia julkaistaan päivittäin ja samalla haavoittuvuudet saavat CVSS-arvon. CWE-lista taas päivittyi uuteen 1.3-versioon maaliskuussa.

Tällä viikolla on raportoitu kahdestakin yleisesti käytössä olevan Adobe Readerin haavoittuvuudesta. Sekä getAnnots()- että customDictionaryOpen()-haavoittuvuuksiin on julkiset hyväksikäyttömenetelmät saatavilla Linux-ympäristöön.

Helmikuussa eli tarkalleen 19.2. julkisuuteen tulleessa JBIG2-tapauksessa (CVE-2009-0658) korjaus tuli saataville maaliskuun toisella viikolla eli noin kolmessa viikossa. Unix-versiot puolestaan julkaistiin vasta kahta viikkoa myöhemmin. Nyt tilanne on toinen, koska valmistaja ei ole kertonut korjatun version julkaisuajankohtaa.

Myös tuolloin useita sekä julkisia että penetraatiotyökaluja tuottavien toimijoiden maksullisia expoit-koodeja julkaistiin.

Käytännössä korjausta odottaessa on mahdollista mm. estää sovelluksen käyttö, siirtyä vaihtoehtoiseen tuotteeseen, rajoittaa hyväksikäyttöä esim. asetusmuutoksilla tai luottaa virustorjunta- ja tunkeutumisenestosuojaan. Acrobat-tapauksessa valmistaja suosittelee Acrobat JavaScriptin poiskytkemistä ohjelmiston valikoista.

Viikkoja kestävä ajanjakso on pitkä aika tilanteessa, jolloin varsinkaan tarkkaa päivityksen julkaisuaikaa ei ole etukäteen tiedossa. Mikäli organisaatio käyttää suomenkielisiä sovellusversioita voi laajaltikin käytössä olevan sovelluksen päivityksen odottaminen kestää jopa kuukausia.

JavaScriptin poiskytkentää ei tule jättää ohjeistuksen varaan ja käyttäjien itsensä toteutettavaksi. Keskitetty asetusmuutos takaa sen, että asetus tulee kattavasti käyttöön niin Windows-, Linux- kuin Mac-työasemissakin.

CVE-2009-0658:n CVSS-arvo oli peräti 9.3. Uusista JavaScript-metodiaukoista arvoja ei ole vielä saatavilla.

Ongelma joka sekä Acrobatista että Adobe Readerista odottaa paikkausta kuuluu CWE-luokituksessa luokkaan CWE-119 eli Failure to Constrain Operations within the Bounds of a Memory Buffer – samaan kuin JBIG2-haavoittuvuuskin.

Helmikuussa JBIG2-haavoittuvuutta hyödynsi myös yritysvakoilutapauksista tuttu Trojan.Pidief-kategorian takaporttitroijalainen. Kerromme tässä blogissa mikäli vastaavista troijalaisista saadaan nyt viitteitä.