China Netcom Falls Prey untuk Keracunan DNS Cache

Salah satu ISP terbesar di China (penyedia perkhidmatan Internet) telah menjadi mangsa kepada kelemahan yang berbahaya dalam sistem alamat Internet, menurut vendor keselamatan Websense.

Kesilapan yang digambarkan sebagai salah satu yang paling serius yang pernah mempengaruhi Internet, boleh menyebabkan pelayar web ditransmisikan ke laman web yang palsu bahkan jika URL (Uniform Resource Locator) telah diketik dengan betul dalam bar alamat penyemak imbas.

Ditemui oleh penyelidik keselamatan Dan Kaminsky, masalah ini di-root dalam DNS (Sistem Nama Domain). Apabila pengguna menaipkan alamat Web ke dalam penyemak imbas, permintaan tersebut akan pergi ke pelayan DNS atau cache, yang mengembalikan alamat IP (Internet protocol) yang bersamaan untuk laman web.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Tetapi kecacatan membolehkan pelayan DNS dipenuhi dengan maklumat yang salah dan mengarahkan pengguna ke laman web berniat jahat. Serangan China Netcom sangat menarik kerana ia hanya memberi kesan kepada mereka yang menyalahgunakan URL tertentu, kata Carl Leonard, pengurus penyelidikan keselamatan untuk makmal Eropah Websense.

Hack terbaru ditemui oleh makmal Beijing Websense, beberapa penyelidiknya menggunakan China Netcom sebagai ISP mereka, kata Leonard. Websense telah melihat serangan DNS yang lain, tetapi memilih untuk mempublikasikan perkara ini kerana pelaksanaannya yang menarik, katanya.

Peretas telah merogol salah satu pelayan DNS China Netcom untuk mengarahkan pengguna yang mengetik, contohnya, gogle.cn daripada google.cn. Dengan cara itu, lebih sedikit pengguna diarahkan ke laman web yang berniat jahat, tetapi strateginya adalah untuk menjaga serangan profil yang lebih rendah agar tidak menimbulkan perhatian.

"Pengarang malcode sedang berusaha untuk mengekalkan radar," kata Leonard.

Mangsa diarahkan ke laman web yang berniat jahat - yang sebahagiannya masih aktif - yang cuba mengeksploitasi kerentanan yang diketahui dalam perisian seperti RealPlayer 'RealPlayer' multimedia player dan Adobe Flash Player Player.

Usaha lain untuk mengeksploitasi kelebihan masalah dengan kawalan ActiveX untuk Microsoft Snapshot Viewer, digunakan untuk melihat laporan untuk Microsoft Access, program pangkalan data relasional.

Walaupun Adobe, Microsoft dan RealPlayer telah mengeluarkan patch untuk beberapa kelemahan tersebut, penggodam masih melihat peluang. "Ia memberitahu kami bahawa orang ramai tidak memakai patch tersebut," kata Leonard.

Jika eksploit berjaya, PC akan memuat turun program kuda Trojan yang menutup kemas kini perisian antivirus, kata Leonard. Websense telah memberitahu China Netcom tetapi tidak pasti jika pelayan DNS telah ditambal.

Kaminsky dan penyelidik lain menyelaraskan kempen rahsia besar-besaran dengan vendor untuk menambal perisian DNS mereka, tetapi butiran tentang cara mengeksploitasi kelemahan itu telah dibocorkan pada 21 Julai Walau bagaimanapun, tidak semua ISP telah ditampal lagi, meletakkan beberapa pengguna berisiko. Selain itu, patch yang ada hanya mengurangkan kemungkinan kejayaan sesuatu serangan daripada sepenuhnya mengamankan pelayan DNS terhadap serangan, kata Leonard.

"Perlu ada penyelesaian jangka panjang yang disediakan," kata Leonard.