Feilblade-servere sårbare for angrepsangrep

En feil i det mye brukte BIND DNS-programmet (Domain Name System) kan utnyttes av eksterne angripere til å krasje DNS-servere og påvirke operasjonen av andre programmer som kjører på de samme maskinene.

Feilen stammer fra måten regulære uttrykk behandles av libdns-biblioteket som er en del av BIND-programvarefordelingen. BIND-versjoner 9.7.x, 9.8.0 opp til 9.8.5b1 og 9.9.0 opp til 9.9.3b1 for UNIX-lignende systemer er sårbare, ifølge en sikkerhetsrådgivende publisert tirsdag av Internet Systems Consortium (ISC), et nonprofit-selskap som utvikler og vedlikeholder programvaren. Windows-versjonene av BIND påvirkes ikke.

BIND er den mest brukte DNS-serverprogramvaren på Internett. Det er de facto standard DNS-programvaren for mange UNIX-lignende systemer, inkludert Linux, Solaris, ulike BSD-varianter og Mac OS X.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Attack kan krasje servere

Sikkerhetsproblemet kan utnyttes ved å sende spesifikt utformede forespørsler til sårbare installasjoner av BIND som vil føre til at DNS-serverprosessen - navnetemonen, kjent som "navngitt", brukes til å forbruke for mye minnesressurser. Dette kan føre til at DNS-serverprosessen krasjer og operasjonen av andre programmer blir alvorlig påvirket.

"Intentional utnyttelse av denne tilstanden kan føre til benektelse av tjenesten i alle autoritative og rekursive navneservere som kjører berørte versjoner," sa ISC. Organisasjonen vurderer sikkerhetsproblemet som kritisk. (Se også "4 måter å forberede seg på og avværge DDoS-angrep.")

En løsning som foreslås av ISC, er å kompilere BIND uten støtte for vanlige uttrykk, noe som innebærer at man manuelt redigerer "config.h" -filen ved hjelp av instruksjonene i rådgivende. Virkningen av å gjøre dette er forklart i en egen ISC-artikkel som også svarer på andre vanlige spørsmål om sikkerhetsproblemet.

Organisasjonen lanserte også BIND-versjoner 9.8.4-P2 og 9.9.2-P2, som har vanlig uttrykksstøtte deaktivert som standard. BIND 9.7.x støttes ikke lenger og vil ikke motta en oppdatering.

"BIND 10 påvirkes ikke av dette sikkerhetsproblemet," sa ISC. "På tidspunktet for denne veiledningen er BIND 10 imidlertid ikke 'funksjonen fullstendig', og avhengig av distribusjonsbehov, er det kanskje ikke en passende erstatning for BIND 9."

Ifølge ISC er det ingen kjent aktiv utnytter for øyeblikket. Men det kan snart forandre seg.

"Det tok meg omtrent ti minutter å gå fra å lese ISC-rådgivningen for første gang for å utvikle en fungerende utnyttelse," sa en bruker som heter Daniel Franke i en melding sendt til Full Opplysningssikkerhetsliste på onsdag. "Jeg trengte ikke engang å skrive noen kode for å gjøre det, med mindre du teller regexes [regular expressions] eller BIND zone filer som kode. Det vil nok ikke vare lenge før noen andre tar de samme trinnene og denne feilen blir utnyttet i den ville. "

Franke bemerket at feilen påvirker BIND-servere som" godtar soneoverføringer fra usikre kilder. " Men det er bare ett mulig utnyttelsesscenario, sa Jeff Wright, leder for kvalitetssikring på ISC, torsdag i et svar på Frankes melding.

"ISC vil påpeke at vektoren som er identifisert av Franke ikke er Den eneste som er mulig, og at operatører av * ENIGE * rekursive * ELLER * autoritative navneservere som kjører en ikke-oppdatert installasjon av en berørt versjon av BIND, burde vurdere å være sårbare for dette sikkerhetsproblemet, "sa Wright. "Vi ønsker imidlertid å uttrykke enighet med hovedpunktet til Franke's kommentar, som er at den nødvendige kompleksiteten i utnyttelsen av dette sikkerhetsproblemet ikke er høy, og det anbefales umiddelbart å sikre at navnserverne ikke er i fare."

Denne feilen kan være en alvorlig trussel med tanke på den utbredte bruken av BIND 9, ifølge Dan Holden, direktør for sikkerhetsingeniør og svarteam på DDoS-reduksjonsleverandøren Arbor Networks. Angrepere kan begynne å målrette mot feilen som er gitt medieoppmerksomheten rundt DNS i de siste dagene, og det lave kompleksiteten til et slikt angrep, sa han fredag ​​via e-post.

Hackere målrettes sårbare servere

Flere sikkerhetsselskaper sa tidligere i uken at en Nylig distribuert denial-of-service (DDoS) angrep rettet mot en anti-spam-organisasjon var den største i historien og berørt kritisk Internett-infrastruktur. Angriperne benyttet seg av dårlig konfigurerte DNS-servere for å forsterke angrepet.

"Det er en fin linje mellom målretting av DNS-servere og bruk av dem for å utføre angrep som DNS-amplifikasjon," sa Holden. "Mange nettoperatører føler at deres DNS-infrastruktur er skjøre, og ofte går de gjennom ytterligere tiltak for å beskytte denne infrastrukturen, noe som forverrer noen av disse problemene. Et slikt eksempel er å distribuere inline IPS-enheter foran DNS-infrastrukturen. redusere disse angrepene med statsløs inspeksjon er nesten umulig. "

" Hvis operatørene er avhengige av inline deteksjon og reduksjon, er svært få sikkerhetsforskningsorganisasjoner proaktive for å utvikle sin egen proof of concept-kode som skal basere en reduksjon på, "Sa Holden. "Disse typer enheter vil derfor svært sjelden få beskyttelse til vi ser semi-offentlig arbeidskode. Dette gir angriperne et mulighetsvindu som de kan ta veldig godt."

Også historisk DNS-operatører har vært sakte å lappe og Dette kan sikkert komme til spill hvis vi ser bevegelse med dette sårbarheten, sa Holden.