© stylephotographs, 123RF

Wer den DHCP-Dienst erfolgreich attackiert, trifft das gesamte Netzwerk empfindlich. Zwei neue Pufferüberläufe in DHCP-Client und -Server bergen nun diese Gefahr.

Das Dynamic Host Configuration Protocol (DHCP) ist ein in RFC 2131 definiertes Kommunikationsschema, dessen Hauptaufgabe darin besteht, Clients ohne manuelle Konfiguration ins Netz einzubinden. DHCP regelt dafür alle Einstellungen wie IP-Adresse, Netzmaske, Gateway und Nameserver automatisch.

Der DHCP-Client verbindet sich hierzu mit dem Server und sendet anfangs ein spezielles »DHCPDISCOVER«-Paket, da er zunächst keine Informationen über das Netz hat. Daraufhin schickt der Server ein »DHCPOFFER«-Paket zurück und initialisiert den Setup-Prozess, in dessen Verlauf Client und Server alle nötigen Information über weitere DHCP-Pakete austauschen.

Schwachstellen in DHCP sind immer kritisch, da ein gestörter DHCP-Dienst unter Umständen keine Clients mehr in das Netzwerk einbinden kann. Gerade in größeren Netzen kann das schwerwiegende Folgen haben.

Ende Februar meldete das Internet Systems Consortium (ISC) zwei solche kritischen Schwachstellen in der ISC-DHCP-Suite. Ein Fehler betrifft den DHCP-Client (»dhclient«), ein anderer den ISC-DHCP-Server (»dhcpd«). Im extremsten Fall ist die Attacke Teil eines größeren Denial-of-Service-Angriffs und betrifft gleich sehr viele Rechner. Damit legt der Angreifer dann die gesamte Infrastruktur seines Opfers lahm.

Optionen laufen über

Die erste Sicherheitslücke (CVE-2018-5732, [1]) entsteht durch einen Buffer-Overflow-Fehler im Client-Code beim Verarbeiten von DHCP-Optionen. Konkret landen DHCP-Optionen außerhalb des Speicherbereichs eines für sie vorgesehenen Puffers. Die Folge ist ein typischer Buffer Overflow, bei dem Teile des Programmcodes zu Schaden kommen können.

Die Details des Buffer Overflow hängen von Betriebssystem und Programmcode ab und sind im konkreten Fall recht komplex. Für den Angreifer ist es darum nicht ohne Weiteres möglich, auch Befehle auszuführen. Besonders auf Systemen mit installierter Address Space Layout Randomization (ASLR) als Schutzmechanismus ist eine solche Attacke mit Befehlsausführung unmöglich.

Trotzdem kann der Angreifer die Sicherheitslücke für Denial-of-Service-Attacken ausnutzen. Der Angreifer muss lediglich speziell konstruierte DHCP-Pakete an sein Opfer schicken und sich dabei als DHCP-Server ausgeben.

Verzählt

Wesentliche effektiver sind Attacken gegen DHCP-Server, weil dabei lediglich ein Host anzugreifen ist, um den DHCP-Betrieb im gesamten Netzwerk zu stören. Eine solche Attacke ermöglicht CVE-2018-5733 [2]. Dieses zweite Problem betrifft nämlich den DHCP-Server »dhcpd« direkt. Hier liegt das Problem im Programmcode, der einen Referenzzähler für DHCP-Optionen verwaltet.

Dabei kommt es zu einem Fehler beim Setzen dieses Zählers, der zu einem Integer Overflow führt. Dadurch stürzt der Server ab und bedient keine Client-Anfragen mehr. In der Folge bricht das Netzwerk zusammen.

Betroffen von beiden Sicherheitslücken sind die Versionen 4.1.0 bis 4.1-ESV-R15, 4.2.0 bis 4.2.8, 4.3.0 bis 4.3.6 und 4.4.0. Neue Versionen und Patches finden sich auf der Webseite des ISC [3].