Propust ostavlja poslužitelje ranjivim na napade uskrata-posluživanja

Propust u široko korištenom softveru BIND DNS (Domain Name System) može iskoristiti daljinski napadači kako bi zaustavili DNS poslužitelje i utjecali na rad drugih programa koji rade na istim strojevima.

Pogreška proizlazi iz načina na koji regularni izrazi obrađuju knjižnica libdns koja je dio distribucije BIND softvera. BIND verzije 9.7.x, 9.8.0 do 9.8.5b1 i 9.9.0 do 9.9.3b1 za sustave slične UNIX-u ranjive su, prema sigurnosnom savjetovanju objavljenom u utorak od strane Internet Systems Consortium (ISC), neprofitne korporacije koji razvija i održava softver. Ne utječe na verzije sustava Windows BIND.

BIND je daleko najčešće korišten poslužiteljski softver DNS-a na Internetu. To je de facto standardni DNS softver za mnoge UNIX-slične sustave, uključujući Linux, Solaris, različite BSD varijante i Mac OS X.

[Dodatno čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Napad se može srušiti poslužitelji

Ranjivost se može iskoristiti slanjem posebno oblikovanih zahtjeva ranjivim instalacijama BIND-a koji bi prouzročili proces DNS poslužitelja - ime demona, poznatog pod nazivom "imenovan" - da biste potrošili prekomjerne resurse memorije. To može rezultirati padom procesa DNS poslužitelja i pogoršavanjem rada drugih programa.

"Namjerno iskorištavanje ovog stanja može uzrokovati uskraćivanje usluge u svim autoritativnim i rekurzivnim poslužiteljima naziva koji pokreću pogođene verzije", izjavio je ISC. Organizacija procjenjuje da je ranjivost ključna. (Vidi i "4 načina pripreme za DDoS napada i njihovo odbijanje.")

Jedno rješenje koje je predložio ISC jest sastavljanje BIND-a bez podrške za regularne izraze, što uključuje ručno uređivanje datoteke "config.h" u savjetovanju. Učinak to objašnjen je u zasebnom članku ISC-a koji također odgovara na druga često postavljana pitanja o ranjivosti.

Organizacija je također izdala verzije BIND 9.8.4-P2 i 9.9.2-P2 koje imaju podršku regularnom izrazu prema zadanim postavkama. BIND 9.7.x više nije podržan i neće primiti ažuriranje.

"Ova ranjivost ne utječe na BIND 10", izjavio je ISC. "Međutim, u vrijeme ovog savjetovanja, BIND 10 nije" značajka dovršena "i ovisno o vašim potrebama za implementaciju, možda neće biti prikladna zamjena za BIND 9."

Prema ISC-u nema poznatih aktivnih iskorištava u ovom trenutku. Međutim, to bi se uskoro moglo promijeniti. "Trebalo mi je oko deset minuta rada da idu prvi put da čitam ISC savjetodavnu službu kako bih razvio radni iskorištavanje", rekao je korisnik po imenu Daniel Franke u poruci poslanoj punome Objavljivanje sigurnosne mailing liste u srijedu. "Nisam čak ni trebao napisati nikakav kôd da to učinim, osim ako ne računate regexove [regularne izraze] ili BIND zone kao kod. Vjerojatno neće dugo prije nego što netko drugi poduzme iste korake i taj se bug počinje iskorištavati divlja. "

Franke je napomenuo da bug utječe na BIND poslužitelje koji" prihvaćaju zone prijenose iz nepouzdanih izvora ". Međutim, to je samo jedan mogući scenarij eksploatacije, rekao je Jeff Wright, menadžer osiguranja kvalitete u ISC-u, u četvrtak u odgovoru Frankeove poruke.

"ISC htio naglasiti da vektor koji je identificirao gospodin Franke nije jedini je moguće i da operatori * bilo koji * rekurzivni * ILI * autoritativni poslužitelji naziva koji pokreću nespremnu instalaciju pogođene verzije BIND-a trebaju se smatrati ranjivima na taj sigurnosni problem ", rekao je Wright. "Želimo, međutim, izraziti suglasnost s glavnom točkom komentara gospodina Franke, a to je da potrebna složenost iskorištavanja ove ranjivosti nije visoka i preporučuje se hitna akcija kako bi se osiguralo da vaši poslužitelji nisu ugroženi".

Taj bi bug mogao predstavljati ozbiljnu prijetnju s obzirom na široku primjenu BIND 9, prema Dan Holden, direktoru sigurnosnog inženjeringa i timu za odgovor na prodajnom mjestu DDoS Arbor Networks. Napadači bi mogli početi ciljati taj nedostatak s obzirom na medijsku pozornost oko DNS-a u posljednjih nekoliko dana i nisku složenost takvog napada, rekao je petak putem e-pošte.

Hakeri usmjeravaju ranjive poslužitelje

Nekoliko sigurnosnih tvrtki ranije ovog tjedna nedavni napad na distribuirani denial of service (DDoS) koji je usmjeren na anti-spam organizaciju bio je najveći u povijesti i utjecao na kritičnu internetsku infrastrukturu. Napadači su koristili loše konfigurirane DNS poslužitelje kako bi pojačali napad.

"Postoji precizna linija između DNS poslužitelja ciljanja i njihovog korištenja za izvršavanje napada kao što je DNS amplifikacija", rekao je Holden. "Mnogi mrežni operateri smatraju da je njihova DNS infrastruktura krhka i često prolaze kroz dodatne mjere za zaštitu ove infrastrukture, od kojih su neke pogoršavale neke od tih problema, a jedan od takvih primjera je postavljanje in-line IPS uređaja ispred DNS infrastrukture. ublažavanje tih napada bez pregleda bez državljanstva gotovo je nemoguće. "

" Ako se operateri oslanjaju na inline detekciju i ublažavanje, vrlo malo sigurnosnih istraživačkih organizacija proaktivno je oko razvoja vlastitog dokaznog koncepta na kojem će temeljiti ublažavanje, "Rekao je Holden. "Dakle, ove vrste uređaja vrlo rijetko će dobiti zaštitu dok ne vidimo poluobrazovani radni kod, što napadačima pruža priliku da ga vrlo dobro iskoriste."

Također, povijesno DNS operateri su bili spori na zakrpu i ovaj svibanj definitivno dolaze u igru ​​ako vidimo pokret s ovom ranjivost, Holden je rekao.