Flaw maakt servers kwetsbaar voor denial-of-service-aanvallen

Een fout in de veelgebruikte BIND DNS (Domain Name System) -software kan worden misbruikt door externe aanvallers om DNS-servers te laten crashen en de werking te beïnvloeden van andere programma's die op dezelfde machines worden uitgevoerd.

De fout komt voort uit de manier waarop reguliere expressies worden verwerkt door de libdns-bibliotheek die deel uitmaakt van de BIND-softwaredistributie. BIND-versies 9.7.x, 9.8.0 tot 9.8.5b1 en 9.9.0 tot en met 9.9.3b1 voor UNIX-achtige systemen zijn kwetsbaar, volgens een beveiligingsadvies dat dinsdag door het Internet Systems Consortium (ISC) is gepubliceerd, een non-profitorganisatie die de software ontwikkelt en onderhoudt. De Windows-versies van BIND worden niet beïnvloed.

BIND is verreweg de meest gebruikte DNS-serversoftware op internet. Het is de de facto standaard DNS-software voor veel UNIX-achtige systemen, waaronder Linux, Solaris, verschillende BSD-varianten en Mac OS X.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Aanval kan crashen servers

Het beveiligingslek kan worden misbruikt door speciaal vervaardigde aanvragen naar kwetsbare installaties van BIND te verzenden die ertoe zouden leiden dat het DNS-serverproces - de naamdaemon, bekend als "named" - buitensporige geheugenbronnen verbruikt. Dit kan ertoe leiden dat het DNS-serverproces crasht en dat de werking van andere programma's ernstig wordt aangetast.

"Opzettelijke exploitatie van deze voorwaarde kan denial of service veroorzaken in alle gezaghebbende en recursieve naamservers waarop de betreffende versie wordt uitgevoerd," zei de ISC. De organisatie beoordeelt de kwetsbaarheid als kritiek. (Zie ook "4 manieren om DDoS-aanvallen voor te bereiden en af ​​te weren.")

Een door de ISC gesuggereerde oplossing is om BIND te compileren zonder ondersteuning voor reguliere expressies, waarbij het bestand "config.h" handmatig wordt bewerkt met behulp van de meegeleverde instructies. in het advies. De impact hiervan wordt uitgelegd in een afzonderlijk ISC-artikel dat ook andere veelgestelde vragen over het beveiligingslek beantwoordt.

De organisatie heeft ook BIND-versies 9.8.4-P2 en 9.9.2-P2 uitgebracht, die ondersteuning voor reguliere expressies hebben uitgeschakeld standaard. BIND 9.7.x wordt niet langer ondersteund en ontvangt geen update.

"BIND 10 wordt niet beïnvloed door dit beveiligingslek," zei de ISC. "Op het moment van dit advies is BIND 10 echter niet" feature complete "en afhankelijk van uw implementatiebehoeften is dit misschien geen geschikte vervanging voor BIND 9."

Volgens de ISC zijn er geen bekende actieve exploits op dit moment. Dat zou echter snel kunnen veranderen.

"Het kostte me ongeveer tien minuten om van het ISC-advies voor de eerste keer te lezen om een ​​werkende exploit te ontwikkelen," zei een gebruiker met de naam Daniel Franke in een bericht dat naar de volledige Bekendmaking beveiligingsmailinglijst op woensdag. "Ik hoefde zelfs geen code te schrijven om het te doen, tenzij je regexes [reguliere expressies] of BIND zone-bestanden als code meetelt. Het zal waarschijnlijk niet lang duren voordat iemand anders dezelfde stappen neemt en deze bug wordt misbruikt in de wildernis. "

Franke merkte op dat de fout invloed heeft op BIND-servers die" zoneoverdrachten van niet-vertrouwde bronnen accepteren ". Dat is echter slechts één mogelijk exploitatiescenario, zei Jeff Wright, manager kwaliteitsborging bij de ISC, donderdag in een antwoord op de boodschap van Franke.

"ISC wil erop wijzen dat de door Franke geïdentificeerde vector niet de enige die mogelijk is en dat operators van * ELK * recursieve * OF * gezaghebbende nameservers die een ongepatchte installatie van een getroffen versie van BIND uitvoeren zichzelf als kwetsbaar voor dit beveiligingsprobleem beschouwen, "zei Wright. "We willen echter instemmen met het belangrijkste punt van de opmerking van de heer Franke, dat de vereiste complexiteit van de exploit voor deze kwetsbaarheid niet hoog is en dat onmiddellijke actie wordt aanbevolen om ervoor te zorgen dat uw nameservers geen risico lopen."

Deze bug zou een ernstige bedreiging kunnen zijn, gezien het wijdverspreide gebruik van BIND 9, volgens Dan Holden, directeur van het team voor beveiligingstechniek en -respons bij DDoS-mitigation-leverancier Arbor Networks. Aanvallers kunnen de fout gaan vertonen gezien de media-aandacht rond DNS in de afgelopen dagen en de lage complexiteit van een dergelijke aanval, zei hij vrijdag via e-mail.

Hackers richten kwetsbare servers

Verschillende beveiligingsbedrijven zeiden eerder deze week dat een recente gedistribueerde denial-of-service (DDoS) aanval gericht tegen een antispam-organisatie was de grootste in de geschiedenis en beïnvloedde de kritieke internetinfrastructuur. De aanvallers maakten gebruik van slecht geconfigureerde DNS-servers om de aanval te versterken.

"Er is een kleine grens tussen het richten van DNS-servers en het gebruiken van deze om aanvallen uit te voeren zoals DNS-versterking," zei Holden. "Veel netwerkexploitanten zijn van mening dat hun DNS-infrastructuur kwetsbaar is en vaak nemen ze aanvullende maatregelen om deze infrastructuur te beschermen, waarvan sommige sommige van deze problemen verergeren. Een voorbeeld is het inzetten van inline IPS-apparaten voor de DNS-infrastructuur. Deze aanvallen met stateloze inspectie beperken is bijna onmogelijk. "

" Als operators vertrouwen op inline detectie en mitigatie, zijn maar heel weinig veiligheidsonderzoeksorganisaties proactief bezig met het ontwikkelen van hun eigen proof-of-concept code waarop een beperking kan worden gebaseerd, "Zei Holden. "Aldus zullen dit soort apparaten zeer zelden bescherming krijgen totdat we semi-publieke werkcode zien. Dit geeft aanvallers een kans die ze heel goed kunnen grijpen."

Ook hebben DNS-operators de afgelopen jaren traag geplooid en dit kan zeker een rol gaan spelen als we beweging zien met deze kwetsbaarheid, zei Holden.