Serangan daun pelayan terdedah kepada serangan denial-of-service

Kecacatan dalam perisian BIND DNS (Domain Name System) yang digunakan secara meluas boleh dieksploitasi oleh penyerang jauh untuk menyerang pelayan DNS dan mempengaruhi operasi daripada program lain yang dijalankan pada mesin yang sama.

Kesilapan yang berpunca dari cara ungkapan biasa diproses oleh libdns perpustakaan yang merupakan sebahagian daripada pengedaran perisian BIND. Versi BIND 9.7.x, 9.8.0 hingga 9.8.5b1 dan 9.9.0 hingga 9.9.3b1 untuk sistem seperti UNIX terdedah, menurut penasihat keselamatan yang diterbitkan Selasa oleh Konsorsium Sistem Internet (ISC), sebuah syarikat bukan untung yang membangun dan mengekalkan perisian. BIND versi Windows tidak terjejas.

BIND adalah perisian pelayan DNS yang paling banyak digunakan di Internet. Ia adalah perisian DNS piawai de facto untuk banyak sistem seperti UNIX, termasuk Linux, Solaris, pelbagai variasi BSD dan Mac OS X.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows]

Attack boleh crash pelayan

Kerentanan boleh dieksploitasi dengan menghantar permintaan yang dibuat secara khusus kepada pemasangan BIND yang mudah terjejas yang akan menyebabkan proses pelayan DNS-daemon nama, yang dikenali sebagai "bernama" -untuk mengkonsumsi sumber memori yang berlebihan.

"Pengeksploitasian yang sengaja bagi keadaan ini boleh menyebabkan penolakan perkhidmatan dalam semua pelayan nama yang berwibawa dan rekursif yang menjalankan versi yang terjejas," kata ISC. Organisasi menilai kerentanan sebagai kritikal. (Lihat juga "4 cara untuk mempersiapkan dan menangkis serangan DDoS.")

Satu penyelesaian yang dicadangkan oleh ISC adalah untuk menyusun BIND tanpa sokongan untuk ungkapan biasa, yang melibatkan penyuntingan secara manual "config.h" dengan menggunakan arahan yang disediakan dalam nasihat. Kesan melakukan perkara ini dijelaskan dalam artikel ISC berasingan yang juga menjawab soalan-soalan yang sering ditanya tentang kerentanan.

Organisasi juga mengeluarkan versi BIND 9.8.4-P2 dan 9.9.2-P2, yang mempunyai sokongan ekspresi tetap dinonaktifkan secara lalai. BIND 9.7.x tidak lagi disokong dan tidak akan menerima kemas kini.

"BIND 10 tidak terjejas oleh kelemahan ini," kata ISC. "Bagaimanapun, pada masa penasihat ini, BIND 10 bukanlah 'ciri lengkap' dan bergantung kepada keperluan penyebaran anda, mungkin bukan pengganti yang sesuai untuk BIND 9."

Menurut ISC, tidak ada yang diketahui aktif eksploitasi pada masa ini. Bagaimanapun, ia mungkin akan berubah.

"Saya memerlukan kira-kira sepuluh minit kerja untuk membaca nasihat ISC buat kali pertama untuk membangunkan eksploit kerja," kata seorang pengguna bernama Daniel Franke dalam mesej yang dihantar ke Full Senarai mel keselamatan maklumat pendedahan pada hari Rabu. "Saya tidak perlu menulis sebarang kod untuk melakukannya, melainkan jika anda mengira regex [ungkapan biasa] atau fail zon BIND sebagai kod. Mungkin tidak lama sebelum orang lain mengambil langkah yang sama dan bug ini mula dimanfaatkan dalam yang liar. "

Franke menyatakan bahawa pepijat ini mempengaruhi pelayan BIND yang" menerima pemindahan zon dari sumber yang tidak dipercayai. " Bagaimanapun, itu hanya satu kemungkinan senario eksploitasi, kata Jeff Wright, pengurus jaminan kualiti di ISC, Khamis dalam jawapan kepada mesej Franke.

"ISC ingin menunjukkan bahawa vektor yang dikenal pasti oleh Mr Franke tidak satu-satunya yang mungkin, dan pengendali pelayan nama * SESUAI * rekursif * ATAU * nama pelayan yang berwibawa menjalankan pemasangan yang tidak dipatuhi versi BIND yang terjejas perlu menganggap diri mereka terdedah kepada isu keselamatan ini, "kata Wright. "Kami berharap, untuk menyatakan persetujuan dengan komen utama Franke, iaitu kerumitan yang diperlukan untuk mengeksploitasi kelemahan ini tidak tinggi, dan tindakan segera disarankan untuk memastikan pelayan nama anda tidak berisiko."

Bug ini boleh menjadi ancaman serius memandangkan penggunaan BIND 9 yang meluas, menurut Dan Holden, pengarah pasukan kejuruteraan dan respon keselamatan di vendor mitigasi DDoS Arbor Networks. Penyerang mungkin mula menyasarkan kecacatan yang diberikan perhatian media sekitar DNS pada hari-hari kebelakangan ini dan kerumitan rendah serangan sedemikian, katanya Jumaat melalui e-mel.

Hacker menargetkan pelayan terdedah

Beberapa syarikat keselamatan berkata awal minggu ini bahawa Serangan penafian perkhidmatan (DDoS) baru-baru ini yang mensasarkan organisasi anti-spam adalah yang terbesar dalam sejarah dan mempengaruhi infrastruktur Internet kritikal. Penyerang menggunakan pelayan DNS yang tidak dikonfigurasi untuk menguatkan serangan tersebut.

"Ada garis halus di antara menyasarkan pelayan DNS dan menggunakannya untuk melakukan serangan seperti amplifikasi DNS," kata Holden. "Banyak pengendali rangkaian merasakan bahawa infrastruktur DNS mereka rapuh dan seringkali mereka melalui langkah-langkah tambahan untuk melindungi infrastruktur ini, yang sebahagiannya memburukkan lagi beberapa masalah ini. Satu contoh sedemikian adalah menggunakan peranti IPS sebaris di hadapan infrastruktur DNS. mengurangkan serangan ini dengan pemeriksaan tanpa undang-undang adalah hampir mustahil. "

" Jika pengendali bergantung pada pengesanan dan pelarasan sebaris, sangat sedikit organisasi penyelidikan keselamatan proaktif tentang membangunkan kod bukti konsep mereka yang sendiri untuk membina mitigasi, "Kata Holden. "Oleh itu, jenis peranti ini akan sangat jarang mendapat perlindungan sehingga kita melihat kod kerja separa awam. Ini memberi peluang kepada penyerang untuk merampasnya dengan baik."

Selain itu, pengendali DNS sejarah telah lambat untuk menambal dan ini pasti akan berlaku jika kita melihat pergerakan dengan kelemahan ini, kata Holden.