De sårbarheter som uppmärksammats nu under oktober slår hårt mot tillgängligheten. Inte minst den sårbarhet som lär finnas i flertalet TCP/IP stackar där det räcker med 30-40 paket per sekund för att “frysa” ett system. Den sårbarheten,” socketstress”, har ännu inte någon lösning. Vill du vara på säkra sidan är rådet att du skall begränsa vilka IP-adresser du önskar kommunicera med. Dessvärre är det inte görbart i de stora sammanhangen.
De som upptäckte sårbarheten lär ha gjort det av misstag, som så ofta när sårbarhet uppdagas, vad värre är att de trots flera år av forskande inte har något förslag till lösning. Sedan någon månad tillbaka har ett antal aktörer tillgång till upptäckten i hopp om att snabbare finna en lösning på sårbarheten. Risken är förhållandevis stor, trots att samtliga inblandade parter hittills hanterat informationen med mycket gott omdöme, att den läcker ut innan en färdig lösning finns att tillgå.
Flera blev nog tagen på sängen när Microsoft i dagarna släppte en patch till RPC utanför det ordinarie månadsmönstret. Allt fler bygger sina rutiner på att de patchas en gång i månaden och väl synkroniserade med Microsofts normala patch släpp. Ett tänk som kan göra organisationen än mer sårbar för händelser likt denna . RPC-sårbarheten är mycket allvarlig, dessutom finns det ovanligt många “proof of concept”, vilket gör att sårbarheten snabbt kommer att unyttjas av illsinniga. Givetvis kan man ställa sig frågan om någon seriös aktör verkligen exponerar RPC direkt eller indirekt mot Internet. Noterbart är dock att RPC-sårbarheten är en utmärkt språngsbräda, inte minst när man börjar närma sig de inre zonerna där det dessutom är betydligt svårare att inte exponera RPC. Kanske leder detta till en ökad efterfrågan på hostbaserade IPS’er vilka lär ha haft “motmedel” mot just denna sårbarhet i ett par år.
RPC-sårbarheten kommer definitivt att användas för att kidnappa överexponerade “hemma användare” och därmed bidra till att bygga större och nya BotNet. Lite paradoxalt när vi nu har vetskap att det räcker med en dator på en 56k förbindelse för att frysa en TCP/IP-stack. Det kommersiella värdet av ett BotNet för en distribuerad belastningsattack har minskat, åtminstone för en tid.
Dessa, eller andra sårbarhetsupptäckter är inte unika på något sätt. Historien upprepar sig även här. Högst sannolikt har vi ännu inte upptäckt de allvarligaste sårbarheterna. Men problemet är inte enbart sårbarheterna i sig, utan den enorma överexponering som allt för många utsätter sig för. Effekten av en sårbarhet får allt för stora proportioner som det är idag. Näst efter den mänskliga faktorn, är överexponeringen den enskilt största sårbarhetsfaktorn.
Nätaccess skulle helt enkelt aldrig medges till en överexponerad dator!
© 2008 Thomas Nilsson, Certezza AB
Thomas Nilsson
