A hiba a szerverek támadásaitól kiszolgáltatottakat kiszolgáltatja

A széles körben használt BIND DNS (Domain Name System) szoftver hibáját a távoli támadók kihasználhatják a DNS-kiszolgálók összeomlása és a művelet befolyásolása érdekében az ugyanazon gépeken futó egyéb programok esetében.

A hiba abból fakad, hogy a szabályos kifejezéseket a libdns könyvtár dolgozza fel, amely része a BIND szoftver disztribúciónak. A UNIX-szerű rendszerek 9.7.x, 9.8.0 és 9.8.5b1 és 9.9.0 és 9.9.3b1 közötti BIND verziója sérülékeny, az Internet Systems Consortium (ISC), a nonprofit szervezet amely fejleszti és fenntartja a szoftvert. A BIND Windows verziói nem érintettek.

A BIND messze a legszélesebb körben használt DNS-kiszolgálószoftver az interneten. Ez a de facto szabványos DNS-szoftver számos UNIX-szerű rendszerhez, beleértve a Linuxot, a Solaris-ot, a különböző BSD-változatokat és a Mac OS X-et.

[További olvasmány: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépről]

szerverek

A sérülékenység kihasználható speciálisan megtervezett kérések küldésével a BIND sebezhető telepítéseire, amelyek a DNS-kiszolgáló folyamatát okoznák - a név nevű démont, amelyet "név szerint" neveznek el - túlzott memória-erőforrások fogyasztására. Ez a DNS-kiszolgáló-folyamat összeomlását és más programok súlyos működését eredményezheti.

"Az állapot szándékos kihasználása az összes olyan hiteles és rekurzív névkiszolgálóban okozhat szolgáltatásmegtagadást" - mondta az ISC. A szervezet kritikusnak ítéli a sérülékenységet. (Lásd még "A DDoS-támadások előkészítésének és megszüntetésének négy módja".)

Az ISC által javasolt egyik megoldás a BIND rendszeres fordítása a szabályos kifejezések támogatása nélkül, amely magában foglalja a "config.h" fájl manuális szerkesztését a megadott utasításokkal a tanácsadóban. Ennek hatását külön ISC cikk írja le, amely szintén megválaszolja a sebezhetőségre vonatkozó gyakran ismételt kérdéseket.

A szervezet kiadta a 9.8.4-P2 és a 9.9.2-P2 BIND verziókat is, amelyek szabályos kifejezésekkel támogatottak alapértelmezés szerint. A BIND 9.7.x már nem támogatott, és nem kap frissítést.

"A BIND 10 nem érinti ezt a biztonsági rést" - mondta az ISC. "A tanácsadás idején azonban a BIND 10 nem" szolgáltatás teljes ", és a telepítési igényektől függően nem feltétlenül helyettesíti a BIND 9-et."

Az ISC szerint nincs ismert aktív jelenleg kihasználja. Azonban ez hamarosan megváltozhat.

"Tíz perc munkát vittem, hogy elolvashassam az ISC-tanácsadást először egy működő kizsákmányolás kifejlesztéséért" - mondta Daniel Franke nevű felhasználó a Full Közzétételi biztonsági levelezési lista szerdán. "Nem kell még kódot írni ahhoz, hogy ezt megtehesse, hacsak nem számít regexeket [szabályos kifejezések] vagy BIND zónájú fájlokat kódként. Valószínűleg nem lesz sokáig, míg valaki más lépéseket tesz, és ez a hiba elkezdődik a a vad. "

Franke megjegyezte, hogy a hiba a BIND-kiszolgálókat érinti, amelyek" elfogadják a zónaátvitelt a nem megbízható forrásból ". Ez azonban csak egy lehetséges kizsákmányolási forgatókönyv, állítja Jeff Wright, a minőségbiztosítás menedzsere az ISC-ben, csütörtök Franke üzenetére adott válaszában.

"Az ISC szeretné rámutatni, hogy Franke úr által azonosított vektor nem az egyetlen lehetséges, és hogy a * Bármelyik * rekurzív * VAGY * hiteles névkiszolgáló, aki a BIND érintett verziójának hibás telepítését futtatja, úgy ítéli meg, hogy sebezhetővé válik e biztonsági probléma miatt "- mondta Wright. "Mindazonáltal szeretnénk kifejezni egyetértésüket Franke úr megjegyzése főbb pontjával, amely szerint a sebezhetőség kihasználásának szükségszerű összetettsége nem magas, és azonnali cselekvést ajánlunk annak biztosítására, hogy névszervereink ne kerüljenek veszélybe."

Ez a hiba komoly fenyegetést jelenthet a BIND 9 széleskörű használatával kapcsolatban, állítja Dan Holden, a DDoS mérséklő gyártó Arbor Networks biztonsági mérnöke és válaszcsoportjának igazgatója. A támadók elkezdhetik célozni a hibát, mivel az utóbbi napokban a DNS-t körülvevő média figyelmét és az ilyen támadás alacsony komplexitását tekintve, pénteken e-mailben elmondta.

A hackerek kiszolgált sebezhető szervereket

a legutóbbi elosztott denial of service (DDoS) támadás egy anti-spam szervezetet célozva volt a legnagyobb a történelemben és az érintett kritikus internetes infrastruktúrát. A támadók rosszul konfigurált DNS-kiszolgálókat használtak a támadás felerősítésére.

"Van egy finom vonal a célzott DNS-kiszolgálók és a támadások, például a DNS-amplifikáció használatával" - mondta Holden. "Számos hálózati szolgáltató úgy érzi, hogy DNS-infrastruktúrájuk törékeny, és gyakran megkerülik az infrastruktúra védelmét szolgáló további intézkedéseket, amelyek közül egyesek súlyosbítják ezeket a problémákat, például az inline IPS eszközök telepítése a DNS-infrastruktúra előtt. hogy a támadások a hontalan ellenőrzéssel mérsékeltek. "

" Ha a szolgáltatók támaszkodnak az inline detektálásra és enyhítésére, nagyon kevés biztonsági kutatószervezet dolgozik a saját koncepció-kódex kifejlesztésén, "Mondta Holden. "Így az ilyen típusú eszközök nagyon ritkán kapnak védelmet, amíg nem látjuk a félig nyilvános munkakódot, és ezáltal a támadóknak egy olyan lehetőségblokk van, amelyet nagyon megragadhatnak."

A DNS-szolgáltatók történelmileg lassan tapadtak, ez biztosan bejuthat, ha mozgást látunk ezzel a sebezhetőséggel, mondta Holden