Firewall-leverandører Scramble til Fix DNS-problem

Næsten en måned efter, at der blev rapporteret en kritisk fejl i internets domænenavnssystem, sælges leverandører af nogle af de mest anvendte firewallsoftware for at løse et problem, der i det væsentlige kan fortryde en del af de patches, der adresserer denne fejl.

DNS-fejlen påvirker serversoftwaren, som er lavet af mange leverandører, herunder Microsoft, Cisco Systems og Internet Systems Consortium.

Nogle firewallsoftware undviger en kildeports randomiseringsfunktion, der blev introduceret i DNS-patcherne. Selvom denne ændring ikke fuldstændig negerer DNS-patchen, kan det gøre det lettere for angribere at trække et cache-forgiftningsangreb mod DNS-serveren, siger sikkerhedseksperter.

[Yderligere læsning: Bedste NAS-kasser til streaming af medier og backup]

Dette kan føre til næsten uopdagelige phishing-angreb mod brugere af disse DNS-servere.

Firewalls, der gør IP-oversættelse (Internet Protocol) - konvertere IP-adresser, der bruges af computere på deres interne netværk til forskellige IP-adresser som bruges af de andre computere på internettet - kan undertiden fortryde kildeportens randomisering, siger sikkerhedseksperter.

Problemets omfang har i starten taget nogle DNS-eksperter overraskende, sagde Dan Kaminsky, den IOActive forsker, som først opdagede DNS-fejlen. "Dette er til en vis grad vores skyld," sagde han i et e-mail-interview. "Vi undervurderede antallet af firewalls derude, der blev implementeret foran DNS-servere."

"Cisco, Juniper, Citrix og en række andre firewall-leverandører har fuldstændig scramblet for at opdatere deres udstyr," tilføjede han.

Disse leverandører siger, at det stadig kan være uger før alle produkter er løst.

Cisco opdaterede onsdag sin sikkerhedsrådgivning om DNS-problemet for at give kunderne vejledning i, hvordan man håndterer problemet, sagde Russ Smoak, en direktør med Cisco Product Security Incident Response Team. Problemet berører Cisco-kunder, der bruger firewall'en til at gøre portadresseoversættelse (PAT), sagde han. "Hvis du har en PAT-firewall, er det bedste, du kan gøre, at gennemse vores dokument, forstå, hvordan vores netværk er konfigureret, og hvis du har brug for den rettelse, der leveres, skal du installere reparationen."

I mellemtiden er netværket administratorer kan videresende deres DNS-opslag til servere, hvis portadresser ikke oversættes eller simpelthen omkonfigurere firewallen, siger Kaminsky.

Juniper Networks forventer at levere en tilfældig kildeportmulighed for sine produkter i de kommende uger, sagde juniper talskvinde Cindy Ta, via e-mail.

Ikke alle firewallleverandører påvirkes dog. Check Point Software, for eksempel, siger, at firewalls ikke har dette problem.

Kaminsky's DNS-fejl påvirker et så bredt udvalg af produkter, at det ikke er overraskende, at der har været nogle fejl i patchprocessen. Tidligere i ugen rapporterede DNS-eksperter, at den patch, de havde lavet, sænkede ydeevnen på nogle højtrafikservere - dem der blev ramt med mere end 10.000 forespørgsler pr. Sekund. På fredag ​​rapporterede sikkerhedsleverandøren nCircle, at Apples rettelse til DNS-problemet ikke fungerede korrekt.

Internet Systems Consortium President Paul Vixie kalder portoversættelsesproblemet en "big deal", men han sagde, at på trods af en tidlig skepsis er brugerne begynder at forstå alvorligheden af ​​situationen. Da Kaminsky først drøftede problemet, havde nogle sikkerhedseksperter sagt, at problemet syntes at være et rehash af et kendt problem.

Men efter at fejlen blev utilsigtet afsløret i sidste uge, ændrede nogle skeptikere deres melodi. fortsætter med at være et rod, "sagde han via e-mail. "Men i det mindste er der ikke flere benægtere derud, der mudder farvandet med" overblown, not urgent "besked."

(PC Worlds Will Schultz bidrog til denne historie.)