Felsökta servrar sårbara för beteendeangrepp

En fel i det mycket använda BIND DNS-programmet (Domain Name System) kan utnyttjas av fjärrattacker för att krascha DNS-servrar och påverka operationen av andra program som körs på samma maskiner.

Felet härrör från det sätt på vilket reguljära uttryck bearbetas av libdns-biblioteket som ingår i BIND-programvarufördelningen. BIND-versioner 9.7.x, 9.8.0 upp till 9.8.5b1 och 9.9.0 upp till 9.9.3b1 för UNIX-liknande system är sårbara, enligt en säkerhetsrådgivande publicerad tisdag av Internet Systems Consortium (ISC), ett ideellt företag som utvecklar och underhåller programvaran. Windows-versionerna av BIND påverkas inte.

BIND är den klart mest använda DNS-serverns programvara på Internet. Det är de facto-standard DNS-programvaran för många UNIX-liknande system, inklusive Linux, Solaris, olika BSD-varianter och Mac OS X.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Attack kan krascha servrar

Sårbarheten kan utnyttjas genom att skicka specifikt utformade förfrågningar till sårbara installationer av BIND som skulle leda till DNS-serverprocessen - namntemplaren, som kallas "namngiven", för att förbruka alltför stora minnesresurser. Detta kan leda till att DNS-serverprocessen kraschar och att andra program påverkas allvarligt.

"Intentivt utnyttjande av detta tillstånd kan leda till förnekelse av tjänsten i alla auktoritativa och rekursiva namnservrar som körde drabbade versioner", säger ISC. Organisationen räknar sårbarheten som kritisk. (Se även "4 sätt att förbereda och avhjälpa DDoS-attacker.")

En lösning som ISC föreslår är att kompilera BIND utan stöd för reguljära uttryck, vilket innebär att man manuellt redigerar "config.h" -filen med hjälp av instruktionerna i det rådgivande. Effekten av att göra detta förklaras i en separat ISC-artikel som också svarar på andra vanliga frågor om sårbarheten.

Organisationen släppte också BIND-versioner 9.8.4-P2 och 9.9.2-P2, som har regelbundet uttrycksstöd inaktiverat som standard. BIND 9.7.x stöds inte längre och kommer inte att få en uppdatering.

"BIND 10 påverkas inte av denna sårbarhet", sa ISC. "Men vid den här rådgivningen är BIND 10 inte" funktionen komplett "och beroende på dina installationsbehov är det kanske inte ett lämpligt ersättare för BIND 9."

Enligt ISC finns det ingen känd aktiv utnyttjar just nu. Men det kan snart förändras.

"Det tog mig ungefär tio minuter att läsa från att läsa ISC-rådgivningen för första gången för att utveckla en fungerande exploatering", sa en användare som heter Daniel Franke i ett meddelande som skickades till Full Upplysningssäkerhetsadresslista på onsdag. "Jag behövde inte ens skriva någon kod för att göra det, om du inte räknar regexes [reguljära uttryck] eller BIND zonfiler som kod. Det kommer nog inte vara länge innan någon annan tar samma steg och det här felet börjar exploateras i den vilda. "

Franke noterade att buggen påverkar BIND-servrar som" accepterar zonöverföringar från otillförlitliga källor ". Men det är bara ett möjligt exploateringsscenario, säger Jeff Wright, chef för kvalitetssäkring vid ISC, på torsdagen i ett svar på Frankes budskap.

"ISC skulle vilja påpeka att vektorn identifierad av Franke inte är den enda som är möjlig, och att operatörer av * ALLA * rekursiva * ELLER * auktoritativa nameservers som kör en oöverträffad installation av en drabbad version av BIND bör betrakta sig sårbara för detta säkerhetsproblem, säger Wright. "Vi vill dock uttrycka överenskommelse med huvudpunkten i Franke: s kommentar, vilket är att den nödvändiga komplexiteten i utnyttjandet av denna sårbarhet inte är hög, och omedelbar åtgärd rekommenderas för att säkerställa att dina namnbehandlare inte riskerar."

Det här felet kan vara ett allvarligt hot mot den utbredda användningen av BIND 9, enligt Dan Holden, chef för säkerhetsingenjör och svarlag hos DDoS-reduktionsleverantören Arbor Networks. Attackers kanske börjar rikta sig till den fel som ges medieuppmärksamhet kring DNS under de senaste dagarna och den låga komplexiteten hos en sådan attack, sade han fredag ​​via e-post.

Hackers mål sårbara servrar

Flera säkerhetsföretag sa tidigare i veckan att en Nyligen distribuerad denial-of-service (DDoS) -attack som riktar sig mot en anti-spamorganisation var den största i historien och påverkad kritisk Internetinfrastruktur. Anfallarna använde sig av dåligt konfigurerade DNS-servrar för att förstärka attacken.

"Det finns en bra linje mellan att rikta DNS-servrar och använda dem för att utföra attacker som DNS-förstärkning", säger Holden. "Många nätoperatörer anser att deras DNS-infrastruktur är bräcklig och ofta går de igenom ytterligare åtgärder för att skydda denna infrastruktur, av vilka vissa förvärrar några av dessa problem. Ett sådant exempel är att distribuera inline-IPS-enheter framför DNS-infrastrukturen. mildra dessa attacker med statslös inspektion är nästan omöjligt. "

" Om operatörer är beroende av inline-detektion och begränsning är få få säkerhetsforskningsorganisationer proaktiva för att utveckla sin egen proof of concept-kod för att basera en begränsning på, "Sa Holden. "Således kommer dessa typer av enheter mycket sällan att få skydd tills vi ser semi-offentliga arbetskoder. Det ger angriparna ett fönstret till möjligheter som de kan mycket väl gripa."

Också historiska DNS-operatörer har varit långsamma att patchera och Detta kan definitivt komma till spel om vi ser rörelse med denna sårbarhet, säger Holden.