Epäonnistuminen palvelee palvelimia, jotka ovat alttiita palvelunestohyökkäyksille

Hyökkääjät voivat hyödyntää laajalti käytössä olevaa BIND DNS (Domain Name System) -ohjelmistoa kaatamaan DNS-palvelimia ja vaikuttaa toimintaan

Virhe johtuu siitä, miten säännölliset lausekkeet käsittelevät libdns-kirjasto, joka on osa BIND-ohjelmiston jakelua. BIND-versiot 9.7.x, 9.8.0-9.8.5b1 ja 9.9.0-9.9.3b1 ovat haavoittuvia tietoturvatiedonannossa, joka julkaistiin tiistaina Internet-järjestelmäkonsortiosta (ISC), voittoa tavoittelemattomasta yrityksestä joka kehittää ja ylläpitää ohjelmistoa. BINDin Windows-versiot eivät ole vaikuttaneet.

BIND on selkeästi internetin laajin käytetty DNS-palvelinohjelmisto. Se on de facto standardi DNS-ohjelmisto monille Unix-kaltaisille järjestelmille, mukaan lukien Linux, Solaris, erilaiset BSD-versiot ja Mac OS X.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Hyökkäys voi kaatua palvelimet

Haavoittuvuutta voidaan hyödyntää lähettämällä erityisesti muotoillut pyynnöt haavoittuville BIND-asennuksille, jotka aiheuttaisivat DNS-palvelimen prosessin - nimi-niminen daemon eli "nimetty" - kuluttaa liiallisia muistiresursseja. Tämä voi johtaa DNS-palvelimen prosessin kaatumiseen ja muiden ohjelmien toimintaan.

"Tämän ehton tahallinen hyväksikäyttö voi aiheuttaa palvelun epäämisen kaikissa arvovaltaisissa ja rekursiivisissa nimipalvelimissa, jotka käyttävät kyseisiä versioita", ISC sanoi. Organisaatio arvioi haavoittuvuuden olevan kriittinen. (Katso myös "4 tapaa valmistautua DDoS-hyökkäyksiin ja estää se käytöstä.")

ISC: n ehdottama kiertotapa on BINDin kääntäminen ilman säännöllisten lausekkeiden tukemista, johon kuuluu "config.h" -tiedoston manuaalinen muokkaaminen annettujen ohjeiden mukaan neuvonantajana. Tämä vaikutus on selitetty erillisessä ISC-artikkelissa, joka vastaa myös muihin usein kysyttyihin kysymyksiin haavoittuvuudesta.

Organisaatio julkaisi myös BIND-versiot 9.8.4-P2 ja 9.9.2-P2, oletuksena. BIND 9.7.x ei enää tueta, eikä se saa päivitystä.

"Tämä haavoittuvuus ei vaikuta BIND 10: een", ISC sanoi. "Tämän neuvonnan aikaan BIND 10 ei kuitenkaan ole" ominaisuus täydellinen "ja sen käyttöönoton tarpeita riippuen se ei välttämättä ole sopiva korvaus BIND 9: lle."

ISC: n mukaan ei ole tunnettua aktiivista hyödyntää tällä hetkellä. Tämä saattaa kuitenkin muuttua pian.

"Se kesti noin kymmenen minuuttia työtä ISC: n neuvonantajan ensimmäistä kertaa lukemasta työhyötyä", Daniel Franke -niminen käyttäjä totesi lähettämässään viestissä Julkaisujen suojauslistauslista keskiviikkona. "Minun ei edes tarvitse kirjoittaa mitään koodia, jos et lasketa koodeja [säännöllisiä lausekkeita] tai BIND-vyöhykkeen tiedostoja koodiksi. Se ei todennäköisesti kestä kauan, ennen kuin joku muu tekee samoja vaiheita ja tämä vika alkaa hyödyntää villi. "

Franke huomautti, että vika vaikuttaa BIND-palvelimiin, jotka" hyväksyvät vyöhykkeiden siirrot epäuskoista lähteistä ". Tämä on kuitenkin vain yksi mahdollinen hyödyntämisvaihtoehto, sanoo ISC: n laadunvarmistuksen johtaja Jeff Wright, torstaina Franken sanomassa.

"ISC haluaa huomauttaa, että Franken toteama vektori ei ole ainoa mahdollinen, ja että * ANY * rekursiiviset * TAI * toimivat nimipalvelimet, jotka suorittavat virheellisen version BIND-version, pitävät itseään haavoittuvina tämän tietoturvaongelman vuoksi ", Wright sanoi. "Haluamme kuitenkin ilmaista yhteisymmärryksen herra Franken huomautuksen pääaiheeseen, jonka mukaan haavoittuvuuden hyväksikäytön vaadittava monimutkaisuus ei ole korkea ja välitöntä toimintaa suositellaan sen varmistamiseksi, että nimipalvelsiasi eivät ole vaarassa."

Tämä vika voi olla vakava uhka, kun otetaan huomioon BIND 9: n laaja käyttö, mukaan lukien DDOS: n lieventämisyrityksen Arbor Networksin tietoturva- ja vastausryhmän johtaja Dan Holden. Hyökkääjät voivat aloittaa virheen kohdistamisen, kun otetaan huomioon DNA: n ympäröivä mediahuomautus viime päivinä ja tällaisen hyökkäyksen alhainen monimutkaisuus, hän sanoi perjantaina sähköpostitse.

Hakkerit kohdistuvat haavoittuviin palvelimiin

Useat tietoturvarahastot ovat aiemmin tällä viikolla kertoneet, että Viimeaikainen hajautettu palvelu (DDoS) hyökkäys, joka kohdistui roskapostin vastaiseen organisaatioon, oli historian suurin ja vaikutti kriittiseen Internet-infrastruktuuriin. Hyökkääjät käyttivät huonosti konfiguroituja DNS-palvelimia vahvistaakseen hyökkäyksen.

"Kohde-DNA-palvelimien välillä on hieno linja ja niiden käyttäminen suorittamaan hyökkäyksiä, kuten DNS-monistus", Holden sanoi. "Monet verkko-operaattorit kokevat, että niiden DNS-infrastruktuuri on hauras ja usein ne suorittavat lisätoimenpiteitä infrastruktuurin suojaamiseksi, ja jotkin niistä pahentavat joitain näistä ongelmista: tällainen esimerkki on sisäisten IPS-laitteiden käyttöönotto DNS-infrastruktuurin edessä. "

" Jos operaattorit luottavat inline-havaitsemiseen ja lieventämiseen, hyvin harvat turvallisuusalan tutkimusorganisaatiot ovat ennakoivia kehittämästä omia käskykäsitään, jonka perusteella voidaan lieventää, "Holden sanoi. "Näin ollen tällaiset laitteet saavat hyvin harvoin suojaa, kunnes näemme puolijulkisen toimintokoodin, joka antaa hyökkääjille mahdollisuuden ikkunaan, jonka he voivat hyvin tarttua."

Myös historiaisesti DNS-operaattorit ovat hitaita korjaamaan ja tämä voi varmasti tulla pelaamaan, jos näemme liikkumista tämän haavoittuvuuden kanssa, Holden sanoi.