Serverele defectuoase sunt vulnerabile la atacurile de negare a serviciului

Un defect al software-ului BIND DNS (Domain Name System) utilizat pe scară largă poate fi exploatat de atacatori la distanță pentru a crasa serverele DNS și a afecta operațiunea din alte programe care rulează pe aceleași mașini.

Defecțiunea rezultă din modul în care expresiile regulate sunt procesate de biblioteca libdns care face parte din distribuția de software BIND. Versiunile BIND 9.7.x, 9.8.0 până la 9.8.5b1 și 9.9.0 până la 9.9.3b1 pentru sistemele asemănătoare UNIX sunt vulnerabile, potrivit unui aviz de securitate publicat marți de către Internet Systems Consortium (ISC), o companie nonprofit care dezvoltă și întreține software-ul. Versiunile Windows de BIND nu sunt afectate.

BIND este de departe cel mai utilizat software de server DNS pe Internet. Acesta este software-ul standard DNS de facto pentru multe sisteme asemănătoare UNIX, inclusiv Linux, Solaris, diverse variante BSD și Mac OS X.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

serverele

Vulnerabilitatea poate fi exploatată prin trimiterea de cereri special create către instalările vulnerabile ale BIND care ar cauza procesul serverului DNS - daemonul numit "numit" - pentru a consuma resurse excesive de memorie. Acest lucru poate duce la crasarea procesului serverului DNS și la exploatarea altor programe care sunt grav afectate.

"Exploatarea intenționată a acestei condiții poate duce la negarea serviciilor în toate serverele de nume autoritare și recursive care rulează versiuni afectate", a spus ISC. Organizația ratează vulnerabilitatea ca fiind critică. (Vezi și "4 moduri de a pregăti și a îndepărta atacurile DDoS")

O soluție sugerată de ISC este de a compila BIND fără suport pentru expresii regulate, care implică editarea manuală a fișierului "config.h" în consiliere. Impactul acestei acțiuni este explicat într-un articol ISC separat, care răspunde și la alte întrebări frecvente despre vulnerabilitate.

Organizația a lansat de asemenea versiunile BIND 9.8.4-P2 și 9.9.2-P2, în mod implicit. BIND 9.7.x nu mai este acceptat și nu va primi o actualizare.

"BIND 10 nu este afectat de această vulnerabilitate", a spus ISC. "Cu toate acestea, în momentul acestei consultări, BIND 10 nu este" caracteristică completă "și, în funcție de nevoile dvs. de implementare, poate să nu fie un înlocuitor potrivit pentru BIND 9."

Potrivit ISC, exploatează în prezent. Cu toate acestea, s-ar putea să se schimbe în curând.

"Mi-a trebuit aproximativ zece minute de muncă pentru a trece de la citirea consultanței ISC pentru prima dată la dezvoltarea unui exploit de lucru", a spus un utilizator numit Daniel Franke într- Dezvăluie lista de discuții de securitate miercuri. "Nu am avut nici măcar nevoie să scriu coduri pentru a face acest lucru, dacă nu numărați regexes [expresii regulate] sau fișiere zone BIND drept cod. Probabil nu va dura mult înainte ca altcineva să facă aceleași pași și această eroare începe să fie exploatată în sălbatic ".

Franke a remarcat că eroarea afectează serverele BIND care" acceptă transferuri de zone din surse neîncrezătoare ". Cu toate acestea, acesta este doar un scenariu posibil de exploatare, a declarat Jeff Wright, manager de asigurare a calitatii la ISC, joi, intr-un raspuns la mesajul lui Franke.

"ISC ar dori sa sublinieze ca vectorul identificat de domnul Franke nu este singura posibilă și că operatorii de nume de servere autoritare * ANY * recursive OR, care rulează o instalare neatinsă a unei versiuni afectate a BIND, ar trebui să se considere vulnerabili la această problemă de securitate ", a spus Wright. "Cu toate acestea, dorim să exprimăm acordul cu punctul principal al comentariului dlui Franke, care este că complexitatea necesară a exploatației pentru această vulnerabilitate nu este ridicată și este recomandată o acțiune imediată pentru a vă asigura că numele dvs. nu sunt expuși riscului".

Acest bug ar putea fi o amenințare serioasă, având în vedere utilizarea pe scară largă a BIND 9, spune Dan Holden, directorul echipei de ingineri de securitate și de răspuns la distribuitorul de soluții DDoS, Arbor Networks. Atacatorii ar putea începe să vizeze defectele date fiind atenția mediatică din jurul DNS în ultimele zile și complexitatea scăzută a unui astfel de atac, a spus el vineri prin e-mail.

Hackerii vizează servere vulnerabile

Mai multe companii de securitate au declarat la începutul acestei săptămâni că recentul atac DDD (Denial-of-Service) distribuit, vizând o organizație anti-spam, a fost cel mai mare din istorie și a afectat infrastructura critică a internetului. Atacatorii au folosit servere DNS prost configurate pentru a amplifica atacul.

"Există o linie fină între direcționarea serverelor DNS și utilizarea acestora pentru a efectua atacuri, cum ar fi amplificarea DNS", a spus Holden. "Mulți operatori de rețea consideră că infrastructura DNS este fragilă și adesea ei parcurg măsuri suplimentare pentru a proteja această infrastructură, unele dintre ele exacerbat unele dintre aceste probleme. Un astfel de exemplu este implementarea dispozitivelor IPS inline în fața infrastructurii DNS. atenuarea acestor atacuri cu inspecția apatrizată este aproape imposibilă. "

" Dacă operatorii se bazează pe detectarea și atenuarea inline, foarte puține organizații de cercetare în domeniul securității sunt proactive în ceea ce privește elaborarea propriului cod de probă de concept pe care să se bazeze o atenuare, A spus Holden. "Astfel, aceste tipuri de dispozitive vor beneficia foarte rar de protecție până când vom vedea codul de lucru semi-public. Aceasta oferă atacatorilor o fereastră de oportunitate pe care o pot profita foarte bine."

De asemenea, operatorii DNS istoric au fost lenți în patch-uri acest lucru poate intra in joc cu siguranta daca vedem o miscare cu aceasta vulnerabilitate, a spus Holden.