Kusurlar, hizmet reddi saldırılarına karşı savunmasız sunucular bırakıyor

Yaygın olarak kullanılan BIND DNS (Alan Adı Sistemi) yazılımındaki bir kusur, DNS sunucularını çökertmek ve işlemi etkilemek için uzak saldırganlar tarafından kullanılabilir Aynı makinelerde çalışan diğer programların.

Kusur, BIND yazılım dağıtımının bir parçası olan libdns kütüphanesi tarafından düzenli ifadelerin işlenmesinden kaynaklanıyor. UNIX benzeri sistemler için 9.7.x, 9.8.0 9.8.0b1 ve 9.9.0 9.9.0'a kadar UNIX benzeri sistemler, Sivil Toplum Kuruluşları İnternet Sistemleri Konsorsiyumu (ISC) tarafından Salı günü yayınlanan bir güvenlik danışmanına göre savunmasızdır. yazılımı geliştirir ve korur. BIND'in Windows sürümleri etkilenmez.

BIND, Internet üzerinde en çok kullanılan DNS sunucu yazılımıdır. Linux, Solaris, çeşitli BSD varyantları ve Mac OS X dahil olmak üzere pek çok UNIX benzeri sistem için gerçek standart DNS yazılımıdır.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Saldırı çökebilir

Güvenlik açığı Bu güvenlik açığı, BIND'nin güvenlik açığı olan kurulumlarına, DNS sunucusu işleminin - "adlandırılmış" olarak adlandırılan ve aşırı bellek kaynaklarını tüketen adı daemonuna neden olacak şekilde özel olarak hazırlanmış istekleri göndererek kullanılabilir. Bu, DNS sunucusu işleminin çökmesine ve diğer programların ciddi şekilde etkilenmesinin çalışmasına neden olabilir.

"Bu durumun kasıtlı olarak istifade edilmesi, etkilenen sürümleri çalıştıran tüm yetkili ve özyineli ad sunucularının hizmet reddine neden olabilir." Kuruluş, güvenlik açığını kritik olarak derecelendirir. (Ayrıca bkz. "DDoS saldırılarını hazırlamak ve kapatmak için 4 yol.")

ISC tarafından önerilen bir geçici çözüm, sağlanan yönergeleri kullanarak "config.h" dosyasını el ile düzenlemeyi içeren normal ifadeler için destek almadan BIND derlemektir. danışmada. Bunu yapmanın etkisi, güvenlik açığı hakkında sıkça sorulan diğer sorulara da yanıt veren ayrı bir ISC makalesinde açıklanmaktadır.

Kuruluş ayrıca, düzenli ifade desteği devre dışı olan BIND 9.8.4-P2 ve 9.9.2-P2 sürümlerini yayımladı. varsayılan olarak. BIND 9.7.x artık desteklenmiyor ve bir güncelleme almayacak.

"BIND 10, bu güvenlik açığından etkilenmez" dedi. "Ancak, bu danışmanlık sırasında BIND 10 'özellik tam değil' ve dağıtım gereksinimlerinize bağlı olarak BIND 9 için uygun bir yedek olmayabilir.”

ISC'ye göre, bilinen hiçbir aktif yoktur. şu anda sömürü. Ancak, bu kısa bir süre sonra değişebilir.

"İşten çıkarmanın geliştirilmesi için ISC danışmanlığının ilk kez okunmasından yaklaşık on dakikalık bir çalışma sürdüm." Çarşamba günü açıklamanın güvenlik posta listesi. “Düzenli ifadeleri veya normalde BIND bölge dosyalarını kod olarak kabul etmedikçe, bunu yapmak için herhangi bir kod yazmam bile gerekmedim. Birisi aynı adımları atmadan çok uzun sürmeyecek ve bu hata, vahşi. "

Franke, hatanın" güvenilmeyen kaynaklardan bölge aktarımlarını kabul eden "BIND sunucularını etkilediğini belirtti. Ancak, bu sadece bir olası sömürü senaryosudur, diyor Jeff Wright, ISC'deki kalite güvence müdürü, Franke'nin mesajına bir cevap olarak Perşembe günü.

"ISC, Bay Franke tarafından belirlenen vektörün olmadığını belirtmek ister Wright, “Mümkün olan tek şey, ve * BİT'in * etkilenen * OR * yetkili ad görevlilerinin BIND'in etkilenen bir sürümünün gönderilmemiş bir kurulumunu yürüten operatörlerinin kendilerini bu güvenlik sorununa karşı savunmasız bırakmaları gerektiğini” söyledi. "Ancak, Franke 'in yorumunun ana noktasıyla anlaşmayı arzuluyoruz, ki bu da bu güvenlik açığından yararlanmak için gerekli olan karmaşıklığın yüksek olmaması ve ad görevlilerinizin risk altında olmadığından emin olmak için derhal harekete geçilmesi önerilmektedir."

DDoS hafifletme tedarikçisinin Arbor Networks'teki güvenlik mühendisliği ve müdahale ekibinin yöneticisi Dan Holden'e göre, bu hata BIND 9'un yaygın kullanımı göz önüne alındığında ciddi bir tehdit olabilir. Saldırganlar, son günlerde DNS'yi çevreleyen medya ilgisi ve bu türden bir saldırının düşük karmaşıklığı göz önüne alındığında kusurları hedef almaya başlayabilirdi, Cuma gününü e-posta yoluyla söyledi.

Hackers savunmasız sunucuları hedef aldı

Birkaç güvenlik şirketi bu hafta başlarında şunları söyledi: Bir anti-spam organizasyonu hedefleyen son dağıtılmış hizmet reddi (DDoS) saldırısı, tarihteki en büyük sorun oldu ve kritik İnternet altyapısını etkiledi. Saldırganlar saldırıyı güçlendirmek için kötü yapılandırılmış DNS sunucularını kullandılar.

"DNS sunucularını hedefleme ve DNS yükseltmesi gibi saldırılar gerçekleştirmek için bunları kullanmanın arasında ince bir çizgi var" dedi Holden. "Birçok ağ operatörü, DNS altyapısının kırılgan olduğunu düşünüyor ve çoğu zaman bu altyapıyı korumak için ek birtakım önlemler alıyorlar, ki bu bazı problemleri daha da kötüleştiriyor. Bu tür bir örnek, DNS altyapısının önünde yerleşik IPS aygıtlarını dağıtıyor. Bu saldırıları vatansız denetim ile azaltmak imkansızdır. ”

" Eğer operatörler, yerinde algılama ve azaltmaya güveniyorsa, çok az sayıda güvenlik araştırma kuruluşu, üzerinde bir azaltmaya dayandıracak olan kendi kendi kavram-kanıt kodlarını geliştirme konusunda proaktiftir. "Holden dedi. "Böylece, bu tür cihazlar yarı kamusal çalışma kodunu görene kadar çok nadiren koruma alacaklardır. Bu, saldırganlara çok iyi bir şekilde yakalayabilecekleri bir fırsat penceresi sunuyor."

Ayrıca, tarihsel olarak DNS operatörleri de Holden, bu açıklıkla hareket gördüğümüzde bu kesinlikle oyuna girebileceğini söyledi.