Οι ανεπιθύμητοι εξυπηρετητές είναι ευάλωτοι σε επιθέσεις άρνησης εξυπηρέτησης

Ένα ελάττωμα στο ευρέως χρησιμοποιούμενο λογισμικό BIND DNS (Domain Name System) μπορεί να εκμεταλλευτεί από απομακρυσμένους εισβολείς για να καταστρέψουν διακομιστές DNS και να επηρεάσουν τη λειτουργία των άλλων προγραμμάτων που τρέχουν στις ίδιες μηχανές

Το ελάττωμα προέρχεται από τον τρόπο επεξεργασίας των κανονικών εκφράσεων από τη βιβλιοθήκη libdns που είναι μέρος της διανομής του λογισμικού BIND. Οι εκδόσεις BIND 9.7.x, 9.8.0 έως 9.8.5b1 και 9.9.0 έως 9.9.3b1 για συστήματα παρόμοια με το UNIX είναι ευάλωτα, σύμφωνα με συμβουλές ασφαλείας που δημοσιεύθηκαν την Τρίτη από την Κοινοπραξία Διαδικτυακών Συστημάτων (ISC), μια μη κερδοσκοπική εταιρεία που αναπτύσσει και διατηρεί το λογισμικό. Οι εκδόσεις των Windows του BIND δεν επηρεάζονται.

Το BIND είναι μακράν το πιο διαδεδομένο λογισμικό διακομιστή DNS στο Internet. Είναι το de facto τυπικό λογισμικό DNS για πολλά συστήματα που μοιάζουν με UNIX, όπως Linux, Solaris, διάφορες παραλλαγές BSD και Mac OS X.

Η επίθεση μπορεί να διακοπεί servers

Η ευπάθεια μπορεί να εκμεταλλευτεί στέλνοντας ειδικά επεξεργασμένα αιτήματα σε ευάλωτες εγκαταστάσεις του BIND που θα προκαλούσαν τη διαδικασία διακομιστή DNS - το όνομα δαίμονα, γνωστό ως "όνομα" - για να καταναλώσει υπερβολικούς πόρους μνήμης. Αυτό μπορεί να έχει ως αποτέλεσμα τη συντριβή της διαδικασίας διακομιστή DNS και τη λειτουργία άλλων προγραμμάτων που επηρεάζονται σοβαρά.

"Η σκόπιμη εκμετάλλευση αυτής της κατάστασης μπορεί να προκαλέσει άρνηση εξυπηρέτησης σε όλους τους εξουσιοδοτημένους και αναδρομικούς διακομιστές ονομάτων που εκτελούν επηρεαζόμενες εκδόσεις", ανέφερε η ISC. Ο οργανισμός εκτιμά ότι η ευπάθεια είναι κρίσιμη. (Δείτε επίσης "4 τρόποι προετοιμασίας και αποτροπής επιθέσεων DDoS")

Μια λύση που προτείνεται από το ISC είναι να μεταγλωττίσει το BIND χωρίς υποστήριξη για κανονικές εκφράσεις, η οποία περιλαμβάνει χειροκίνητη επεξεργασία του αρχείου "config.h" στο συμβουλευτικό. Ο αντίκτυπος αυτού του γεγονότος εξηγείται σε ένα ξεχωριστό άρθρο ISC που απαντά επίσης σε άλλες συνήθεις ερωτήσεις σχετικά με την ευπάθεια.

Ο οργανισμός εξέδωσε επίσης τις εκδόσεις BIND των εκδόσεων 9.8.4-P2 και 9.9.2-P2, οι οποίες έχουν απενεργοποιήσει την κανονική έκφραση από προεπιλογή. Το BIND 9.7.x δεν υποστηρίζεται πλέον και δεν θα λάβει ενημερωμένη έκδοση.

"Το BIND 10 δεν επηρεάζεται από αυτήν την ευπάθεια", δήλωσε η ISC. "Ωστόσο, κατά τη στιγμή της συμβουλευτικής αυτής, το BIND 10 δεν είναι« πλήρες χαρακτηριστικό »και ανάλογα με τις ανάγκες σας για ανάπτυξη, μπορεί να μην είναι η κατάλληλη αντικατάσταση του BIND 9.

Σύμφωνα με το ISC, δεν υπάρχουν γνωστά ενεργά εκμεταλλεύεται αυτή τη στιγμή. Ωστόσο, αυτό θα μπορούσε σύντομα να αλλάξει.

«Χρειάστηκε περίπου δέκα λεπτά εργασίας για να πάω από την ανάγνωση της συμβουλευτικής επιτροπής του ISC για πρώτη φορά στην ανάπτυξη ενός εργασιακού εκμεταλλεύματος», δήλωσε ένας χρήστης με όνομα Daniel Franke σε ένα μήνυμα που στάλθηκε στο Full Απελευθέρωση της αλληλογραφίας ασφαλείας την Τετάρτη. "Δεν έπρεπε καν να γράψω κώδικα για να το κάνω, εκτός και αν μετράτε τα regexes [κανονικές εκφράσεις] ή τα αρχεία ζώνης BIND ως κώδικα. Ίσως δεν θα είναι πολύ πριν κάποιος άλλος λάβει τα ίδια βήματα και αυτό το bug αρχίζει να εκμεταλλεύεται το άγριο. "

Ο Franke σημείωσε ότι το σφάλμα επηρεάζει τους διακομιστές BIND που" δέχονται μεταφορές ζώνης από μη αξιόπιστες πηγές ". Ωστόσο, αυτό είναι μόνο ένα πιθανό σενάριο εκμετάλλευσης, δήλωσε ο Jeff Wright, διευθυντής της διασφάλισης της ποιότητας στο ISC, την Πέμπτη σε απάντηση στο μήνυμα του Franke.

"Το ISC θα ήθελε να επισημάνει ότι ο φορέας που προσδιορίστηκε από τον Franke δεν είναι η μόνη δυνατή και οι χειριστές των * ΟΠΟΙΩΝ * αναδρομικών * OR * αξιόπιστων nameservers που τρέχουν μια αδιατάρακτη εγκατάσταση μιας επηρεαζόμενης έκδοσης του BIND θα πρέπει να θεωρούν τους εαυτούς τους ευάλωτους σε αυτό το ζήτημα ασφαλείας », δήλωσε ο Wright. "Επιθυμούμε, ωστόσο, να εκφράσουμε τη συμφωνία μας με το βασικό σημείο του σχολιασμού του κ. Franke, το οποίο είναι ότι η απαιτούμενη πολυπλοκότητα της εκμετάλλευσης αυτής της ευπάθειας δεν είναι υψηλή και συνιστάται άμεση δράση για να μην τεθούν σε κίνδυνο οι υπεύθυνοι των ονομάτων σας".

Αυτό το σφάλμα θα μπορούσε να αποτελέσει σοβαρή απειλή, δεδομένης της ευρείας χρήσης του BIND 9, σύμφωνα με τον Dan Holden, διευθυντή της ομάδας μηχανικής ασφαλείας και απάντησης στην εταιρεία Arbor Networks για την εξάλειψη της φτώχειας DDoS. Οι επιτιθέμενοι ενδέχεται να ξεκινήσουν να στοχεύουν το ελάττωμα, δεδομένης της προσοχής των μέσων ενημέρωσης γύρω από το DNS τις τελευταίες ημέρες και της μικρής πολυπλοκότητας μιας τέτοιας επίθεσης, ανέφερε την Παρασκευή μέσω ηλεκτρονικού ταχυδρομείου.

Οι χάκερ στοχεύουν σε ευάλωτους διακομιστές

η πρόσφατη επίθεση διανομής υπηρεσίας (DDoS) που απευθύνεται σε έναν οργανισμό κατά του ανεπιθύμητου περιεχομένου (spam) ήταν ο μεγαλύτερος στην ιστορία και επηρέασε την κρίσιμη υποδομή του Διαδικτύου. Οι επιτιθέμενοι χρησιμοποίησαν ανεπαρκώς διαμορφωμένους διακομιστές DNS για να ενισχύσουν την επίθεση.

"Υπάρχει μια λεπτή γραμμή μεταξύ της στόχευσης των διακομιστών DNS και της χρήσης τους για την πραγματοποίηση επιθέσεων όπως η ενίσχυση του DNS", δήλωσε ο Holden. "Πολλοί φορείς εκμετάλλευσης δικτύου θεωρούν ότι η υποδομή DNS τους είναι εύθραυστη και συχνά περνούν από πρόσθετα μέτρα για την προστασία αυτής της υποδομής, μερικά από τα οποία επιδεινώνουν μερικά από αυτά τα προβλήματα. "

" Εάν οι φορείς εκμετάλλευσης βασίζονται στην εντόπιση της ανίχνευσης και του μετριασμού, πολύ λίγοι ερευνητικοί οργανισμοί στον τομέα της ασφάλειας είναι πρόθυμοι να αναπτύξουν τον δικό τους κώδικα απόδειξης ιδεών στον οποίο θα στηρίξουν ένα μετριασμό, "Holden είπε. "Έτσι, αυτοί οι τύποι συσκευών θα αποκτήσουν πολύ σπάνια προστασία μέχρι να δούμε τον ημι-δημόσιο κώδικα εργασίας, κάτι που δίνει στους επιτιθέμενους ένα παράθυρο ευκαιρίας που μπορούν να εκμεταλλευτούν πολύ καλά."

Επίσης, οι ιστορικοί φορείς DNS αυτό μπορεί σίγουρα να τεθεί σε ισχύ εάν παρατηρήσουμε κίνηση με αυτήν την ευπάθεια, δήλωσε ο Holden.