Luka pozostawia serwery podatne na ataki typu "odmowa usługi"

Luka w powszechnie używanym oprogramowaniu BIND DNS (Domain Name System) może zostać wykorzystana przez zdalnych intruzów w celu rozbicia serwerów DNS i wpłynięcia na operację innych programów działających na tych samych maszynach.

Wada wynika ze sposobu przetwarzania wyrażeń regularnych przez bibliotekę libdns, która jest częścią dystrybucji oprogramowania BIND. Wersje BIND 9.7.x, 9.8.0 do 9.8.5b1 i 9.9.0 do 9.9.3b1 dla systemów typu UNIX są podatne na zagrożenia, zgodnie z opublikowanym we wtorek informacją o zabezpieczeniach opublikowaną przez Internet Systems Consortium (ISC), korporację non-profit która rozwija i utrzymuje oprogramowanie. Nie dotyczy to wersji BIND systemu Windows.

BIND jest zdecydowanie najczęściej używanym oprogramowaniem serwera DNS w Internecie. Jest to de facto standardowe oprogramowanie DNS dla wielu systemów typu UNIX, w tym Linux, Solaris, różne warianty BSD i Mac OS X.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Atak może się zawiesić Serwery

Luka może zostać wykorzystana przez wysłanie specjalnie spreparowanych żądań do podatnych na atak instalacji BIND, które spowodują proces serwera DNS - demon nazwy zwany "nazwanym" - zużywa nadmierne zasoby pamięci. Może to spowodować awarię procesu serwera DNS i poważny wpływ na działanie innych programów.

"Zamierzone wykorzystanie tego warunku może spowodować odmowę usługi we wszystkich autorytatywnych i rekurencyjnych serwerach nazw korzystających z wersji podlegających usterce" - powiedział ISC. Organizacja ocenia podatność na krytyczną. (Zobacz także "4 sposoby przygotowania i odparcia ataków DDoS.")

Jedną z metod zaproponowanych przez ISC jest kompilacja BIND bez obsługi wyrażeń regularnych, co wymaga ręcznej edycji pliku "config.h" przy użyciu instrukcji w poradniku. Wpływ tego jest wyjaśniony w oddzielnym artykule ISC, który również odpowiada na inne często zadawane pytania dotyczące luki.

Organizacja wydała także wersje BIND 9.8.4-P2 i 9.9.2-P2, które mają wyłączoną obsługę wyrażeń regularnych domyślnie. BIND 9.7.x nie jest już obsługiwany i nie otrzyma aktualizacji.

"Ta usterka nie dotyczy programu BIND 10." - powiedział ISC. "Jednakże w czasie tego poradnika BIND 10 nie jest" kompletny w pełni "iw zależności od potrzeb związanych z wdrożeniem może nie być odpowiednim zamiennikiem dla BIND 9."

Według ISC nie ma znanych aktywnych wykorzystuje w tej chwili. Jednak może się to wkrótce zmienić.

"Zajęło mi to około dziesięć minut pracy od przeczytania poradnika ISC po raz pierwszy do opracowania działającego exploita", powiedział użytkownik o nazwisku Daniel Franke w wiadomości wysłanej do Full Listę bezpieczeństwa ujawnienia bezpieczeństwa w środę. "Nie musiałem nawet pisać żadnego kodu, aby to zrobić, chyba że policzysz wyrażenia regularne lub pliki strefy BIND jako kod. Prawdopodobnie nie potrwa to długo, zanim ktoś zrobi te same kroki i ten błąd zacznie być wykorzystywany w na wolności. "

Franke zauważył, że błąd dotyczy serwerów BIND, które" akceptują transfery stref z niezaufanych źródeł. " Jednak jest to tylko jeden możliwy scenariusz wykorzystania, powiedział Jeff Wright, kierownik ds. Zapewnienia jakości w ISC, w czwartek w odpowiedzi na wiadomość Franke.

"ISC chciałby zwrócić uwagę, że wektor zidentyfikowany przez Franke nie jest jedyny możliwy i że operatorzy * JAKICH * rekursywnych * OR * autorytatywnych serwerów nazw działających na niezałatanej instalacji zagrożonej wersji BIND powinni uważać się za podatnych na ten problem bezpieczeństwa "- powiedział Wright. "Chcielibyśmy jednak wyrazić zgodę na główny punkt komentarza pana Franke, który oznacza, że ​​wymagana złożoność exploitów dla tej luki nie jest wysoka i zaleca się natychmiastowe działanie, aby upewnić się, że serwery nazw nie są zagrożone."

Ten błąd może stanowić poważne zagrożenie, biorąc pod uwagę powszechne używanie BIND 9, według Dana Holdena, dyrektora zespołu ds. Inżynierii bezpieczeństwa i reagowania w firmie Arbor Networks, dostawcy rozwiązań łagodzących zmiany DDoS. Atakujący mogą zacząć atakować lukę, biorąc pod uwagę uwaga mediów wokół DNS w ostatnich dniach i niewielki stopień złożoności takiego ataku, powiedział w piątek za pośrednictwem poczty elektronicznej.

Hakerzy atakują podatne na zagrożenia serwery

Kilka firm ochroniarskich stwierdziło na początku tego tygodnia, że niedawny rozproszony atak typu "odmowa usługi" (DDoS) skierowany na organizację antyspamową był największy w historii i dotyczył krytycznej infrastruktury internetowej. Atakujący wykorzystali słabo skonfigurowane serwery DNS do wzmocnienia ataku.

"Istnieje precyzyjna granica między atakującymi serwerami DNS i używaniem ich do wykonywania ataków, takich jak wzmocnienie DNS", powiedział Holden. "Wielu operatorów sieci uważa, że ​​ich infrastruktura DNS jest delikatna i często podejmują dodatkowe działania w celu ochrony tej infrastruktury, a niektóre z nich zaostrzają niektóre z tych problemów. Jednym z takich przykładów jest wdrażanie wbudowanych urządzeń IPS przed infrastrukturą DNS. złagodzenie tych ataków, gdy inspekcja bezpaństwowców jest prawie niemożliwa. "

" Jeśli operatorzy polegają na inline detection i łagodzeniu, bardzo niewiele organizacji badających bezpieczeństwo proaktywnie pracuje nad stworzeniem własnego kodu dowodu koncepcji, na którym opiera się złagodzenie, "Holden powiedział. "W związku z tym tego typu urządzenia bardzo rzadko uzyskują ochronę, dopóki nie zobaczymy pół-publicznego kodu roboczego, co daje atakującym szansę na ich wykorzystanie."

Historycznie, operatorzy DNS byli powolni w poprawianiu i to może się zdarzyć, jeśli zobaczymy ruch z tą słabością, powiedział Holden.