Chyby opouštějí servery, které jsou zranitelné útoky typu Denial-of-Service

Chyba v široce používaném softwaru BIND DNS (Domain Name System) může být využívána vzdálenými útočníky k selhání serverů DNS a ovlivnění operace jiných programů běžících na stejných strojích.

Vada vyplývá ze způsobu, jakým regulární výrazy zpracovává knihovna libdns, která je součástí distribuce softwaru BIND. BIND verze 9.7.x, 9.8.0 až 9.8.5b1 a 9.9.0 až 9.9.3b1 pro systémy podobné systému UNIX jsou zranitelné, podle bezpečnostního poradce zveřejněného v úterý společností Internet Systems Consortium (ISC), neziskové společnosti který vyvíjí a udržuje software. Verze systému Windows pro systém BIND nejsou ovlivněny.

BIND je zdaleka nejrozšířenějším softwarem DNS serveru na Internetu. Jedná se o de facto standardní software DNS pro mnoho systémů typu UNIX, včetně Linuxu, Solarisu, různých variant BSD a Mac OS X.

[Další informace: Jak odstranit malware z počítače se systémem Windows]

Útok může dojít k selhání servery

Tato chyba zabezpečení může být využívána odesláním speciálně vytvořených požadavků na zranitelná instalace systému BIND, která by způsobila proces serveru DNS - název démona nazvaný "pojmenovaný" - aby spotřebovával nadměrné zdroje paměti. To může mít za následek zhroucení procesu serveru DNS a závažné narušení provozu jiných programů.

"Úmyslné vyčerpání tohoto stavu může způsobit odmítnutí služby ve všech autoritativních a rekurzivních jmenných serverech se spuštěnými zasaženými verzemi," uvedl ISC. Organizace považuje zranitelnost za kritickou. (Viz také "4 způsoby, jak připravit a odrazit útoky DDoS.")

Jedním řešením navrženým ISC je kompilace BIND bez podpory regulárních výrazů, která zahrnuje manuální editaci souboru "config.h" v poradenství. Vliv tohoto postupu je vysvětlen v samostatném článku ISC, který také odpovídá na jiné často kladené otázky týkající se zranitelnosti.

Organizace také uvolnila verze BIND verze 9.8.4-P2 a 9.9.2-P2, ve výchozím stavu. Služba BIND 9.7.x již není podporována a neobdrží aktualizaci.

"BIND 10 není touto chybou zabezpečení ovlivněna," uvedl ISC. "Avšak v době tohoto poradenství není BIND 10" funkce kompletní "a v závislosti na vašich potřebách nasazení nemusí být vhodnou náhradou pro BIND 9."

Podle ISC neexistují žádné známé aktivní v současné době využívá. To by se mohlo brzy změnit.

"Trvalo mi přibližně deset minut práce, než jsem si poprvé přečetla poradenství ISC o vývoji pracovního zneužívání", uvedl uživatel Daniel Franke ve zprávě zaslané Kompletní Zveřejnění bezpečnostního mailing listu ve středu. "Ani jsem nemusel psát žádný kód, který by to udělal, pokud nepočítáte regexes [regulární výrazy] nebo soubory zóny BIND jako kód. Pravděpodobně nebude dlouho než někdo jiný podnikne stejné kroky a tato chyba začne být využívána divoká. "

Franke poznamenal, že chyba ovlivňuje servery BIND, které" přijímají přenosy zón z nedůvěryhodných zdrojů ". To je ale jen jeden možný scénář vykořisťování, řekl Jeff Wright, manažer zajištění kvality u ISC, ve čtvrtek v odpovědi na zprávu Frankeho.

"ISC by rád zdůraznil, že vektor identifikovaný panem Frankem není jediný možný a provozovatelů * ANY * rekurzivních * OR * autorských jmenných serverů s nesprávnou instalací příslušné verze BIND by se měli považovat za zranitelné vůči tomuto bezpečnostnímu problému, "řekl Wright. "Přejeme si však, abychom souhlasili s hlavním bodem připomínek pana Frankeho, podle něhož požadovaná složitost vykořisťování pro tuto zranitelnost není vysoká a doporučuje se okamžitá akce, aby se zajistilo, že vaši jmenovci nebudou ohroženi."

Tato chyba by mohla být vážným ohrožením vzhledem k rozšířenému použití BIND 9, řekl Dan Holden, ředitel týmu bezpečnostního inženýrství a reakce na firmě Arbor Networks společnosti DDoS pro zmírňování dopadů. Útočníci by se mohli začít zaměřit na chybu vzhledem k pozornosti médií v okolí posledních DNS a nízké složitosti takového útoku, řekl v pátek e-mailem.

Hackeři se zaměřují na zranitelné servery

Několik bezpečnostních společností uvedlo, nedávný distribuovaný útok typu Denial of Service (DDoS) zaměřený na antispamovou organizaci byl největší v historii a ovlivnil kritickou internetovou infrastrukturu. Útočníci využili špatně nakonfigurovaných serverů DNS k zesílení útoku.

"Mezi cílovými servery DNS a jejich použitím k provádění útoků, jako je zesílení DNS, je dobrá linka," řekl Holden. "Mnoho provozovatelů sítí má pocit, že jejich infrastruktura DNS je křehká a často procházejí dalšími opatřeními k ochraně této infrastruktury, z nichž některé zhoršují některé z těchto problémů. Jedním z takových příkladů je nasazení integrovaných zařízení IPS před infrastrukturu DNS. "

" Pokud se operátoři spoléhají na detekci a zmírnění inline, velmi málo organizací pro bezpečnostní výzkum je proaktivní při vývoji vlastního kódu důkazu o konceptu, na němž by se založily zmírňování, "Řekl Holden. "Takže tyto typy zařízení budou velmi zřídka získávat ochranu, dokud nebudeme moci vidět poloviční veřejný pracovní kód. To dává útočníkům okno příležitostí, které mohou velmi dobře využít."

Také historicky DNS operátoři byli pomalí k náplasti a toto může určitě vstoupit do hry, pokud vidíme pohyb s touto zranitelností, řekl Holden.