Fejlblade-servere, der er sårbare over for deial-of-service-angreb

En fejl i den udbredte BIND DNS-domæne (Domain Name System) software kan udnyttes af eksterne angribere til at kollidere DNS-servere og påvirke operationen af andre programmer, der kører på samme maskiner.

Fejlen stammer fra den måde, hvorpå regulære udtryk behandles af libdns-biblioteket, der er en del af BIND-softwarefordelingen. BIND-versioner 9.7.x, 9.8.0 op til 9.8.5b1 og 9.9.0 op til 9.9.3b1 for UNIX-lignende systemer er sårbare, ifølge et sikkerhedsrådgivende udgivet tirsdag af Internet Systems Consortium (ISC), et nonprofit corporation der udvikler og vedligeholder softwaren. Windows-versionerne af BIND påvirkes ikke.

BIND er langt den mest udbredte DNS-server-software på internettet. Det er de facto standard DNS-software til mange UNIX-lignende systemer, herunder Linux, Solaris, forskellige BSD-varianter og Mac OS X.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Attack kan gå ned servere

Sårbarheden kan udnyttes ved at sende specifikt udformede forespørgsler til sårbare installationer af BIND, der ville medføre DNS-serverprocessen - navnet dæmon, kendt som "navngivet" -for at forbruge for store hukommelsesressourcer. Dette kan medføre, at DNS-serverprocessen styrter, og at andre programmers påvirkning bliver alvorligt påvirket.

"Intentional udnyttelse af denne betingelse kan medføre nægtelse af tjeneste i alle autoritative og rekursive navneservere, der kører berørte versioner," sagde ISC. Organisationen vurderer sårbarheden som kritisk. (Se også "4 måder at forberede sig på og afværge DDoS-angreb.")

En løsning, der foreslås af ISC, er at kompilere BIND uden support til regulære udtryk, hvilket indebærer manuelt redigering af "config.h" -filen ved hjælp af vejledning i den rådgivende. Virkningen af ​​at gøre dette er forklaret i en separat ISC-artikel, der også besvarer andre ofte stillede spørgsmål om sårbarheden.

Organisationen udgav også BIND-versioner 9.8.4-P2 og 9.9.2-P2, der har regelmæssig ekspressionssupport deaktiveret som standard. BIND 9.7.x understøttes ikke længere og vil ikke modtage en opdatering.

"BIND 10 påvirkes ikke af denne sårbarhed," sagde ISC. "På tidspunktet for denne rådgivning er BIND 10 imidlertid ikke 'funktion komplet,' og afhængigt af dine implementeringsbehov er det måske ikke en passende erstatning for BIND 9."

Ifølge ISC er der ingen kendt aktiv udnytter i øjeblikket. Men det kan snart ændre sig.

"Det tog mig cirka ti minutter at gå fra at læse ISC-rådgivningen for første gang til at udvikle en fungerende udnyttelse", sagde en bruger ved navn Daniel Franke i en meddelelse sendt til Full Disclosure Security mailing liste på onsdag. "Jeg behøvede ikke engang at skrive kode for at gøre det, medmindre du tæller regexes [regulære udtryk] eller BIND zone filer som kode. Det vil nok ikke vare længe før en anden tager de samme trin, og denne fejl begynder at blive udnyttet i den vilde. "

Franke bemærkede, at fejlen påvirker BIND-servere, at" acceptere zoneoverførsler fra usikrede kilder. " Det er dog kun et muligt udnyttelsesscenarie, sagde Jeff Wright, kvalitetssikringschef på ISC, torsdag i et svar på Frankes budskab.

"ISC vil gerne påpege, at den vektor, der er identificeret af hr. Franke, ikke er den eneste mulige, og at operatører af * ENIGE * rekursive * ELLER * autoritative navneservere, der kører en updateret installation af en berørt version af BIND, burde betragte sig selv sårbare over for dette sikkerhedsproblem, "siger Wright. "Vi ønsker dog at udtrykke enighed med hovedpunktet i hr. Franke's kommentar, hvilket er, at den nødvendige kompleksitet ved udnyttelsen af ​​denne sårbarhed ikke er høj, og det anbefales øjeblikkeligt at sikre, at dine navneservicer ikke risikerer at være i fare."

Denne fejl kan være en alvorlig trussel i betragtning af den udbredte brug af BIND 9, ifølge Dan Holden, direktør for sikkerhedsteknologien og reaktionsholdet hos DDoS-reduktionsleverandøren Arbor Networks. Attackere kan måske begynde at målrette mod den fejl, der blev givet opmærksomheden på medierne omkring DNS i de seneste dage og det lave kompleksitet af et sådant angreb, sagde han fredag ​​via e-mail.

Hackere målrettede sårbare servere

Flere sikkerhedsfirmaer sagde tidligere i ugen, at en Nyligt distribueret denial-of-service (DDoS) angreb rettet mod en anti-spam-organisation var den største i historien og berørt kritisk internetinfrastruktur. Angriberne benyttede dårligt konfigurerede DNS-servere til at forstærke angrebet.

"Der er en fin linje mellem målretning af DNS-servere og brug af dem til at udføre angreb som DNS-amplifikation," sagde Holden. "Mange netoperatører mener, at deres DNS-infrastruktur er skrøbelig, og ofte går de gennem yderligere foranstaltninger til beskyttelse af denne infrastruktur, hvoraf nogle forværre nogle af disse problemer. Et sådant eksempel er at implementere inline IPS-enheder foran DNS-infrastrukturen. mildne disse angreb med statsløs inspektion er næsten umuligt. "

" Hvis operatørerne er afhængige af inline-detektion og afbødning, er meget få sikkerhedsforskningsorganisationer proaktive for at udvikle deres egen proof of concept-kode, der skal basere en begrænsning på, "Sagde holden "Disse typer af enheder vil derfor meget sjældent få beskyttelse, indtil vi ser semi-offentlig arbejdskode. Dette giver angriberne et vindue med mulighed for at få det meget godt."

Også historisk DNS-operatører har været langsom at patchere og Dette kan helt sikkert komme i spil, hvis vi ser bevægelse med denne sårbarhed, siger Holden.