Недостатки серверов, уязвимых для атак типа «отказ в обслуживании»

Недостаток широко используемого программного обеспечения BIND DNS (Domain Name System) может быть использован удаленными злоумышленниками для сбоя DNS-серверов и воздействия на работу других программ, работающих на одних и тех же машинах.

Исчезновение связано с тем, как регулярные выражения обрабатываются библиотекой libdns, которая является частью дистрибутива BIND. BIND версии 9.7.x, 9.8.0 до 9.8.5b1 и 9.9.0 до 9.9.3b1 для UNIX-подобных систем уязвимы, согласно рекомендациям по безопасности, опубликованным во вторник консорциумом Internet Systems Consortium (ISC), некоммерческой корпорацией который разрабатывает и поддерживает программное обеспечение. Версия BIND для Windows не влияет.

BIND - это, безусловно, самое широко используемое программное обеспечение DNS-сервера в Интернете. Это стандартное программное обеспечение DNS для многих UNIX-подобных систем, включая Linux, Solaris, различные варианты BSD и Mac OS X.

[Подробнее: Как удалить вредоносное ПО с вашего ПК с Windows]

Атака может привести к сбою servers

Уязвимость может быть использована путем отправки специально обработанных запросов на уязвимые установки BIND, которые вызовут процесс DNS-сервера - демона имени, называемого «named», - для использования избыточных ресурсов памяти. Это может привести к сбою процесса DNS-сервера и серьезному воздействию на работу других программ.

«Умышленная эксплуатация этого условия может привести к отказу в обслуживании во всех авторитетных и рекурсивных серверах имен, на которых запущены уязвимые версии», - сказал ISC. Организация оценивает уязвимость как критическую. (См. Также «4 способа подготовки и предотвращения атак DDoS».)

Обходной путь, предложенный ISC, заключается в компиляции BIND без поддержки регулярных выражений, который включает в себя ручное редактирование файла config.h с помощью инструкций в консультативном. Последствия этого объясняются в отдельной статье ISC, которая также отвечает на другие часто задаваемые вопросы об этой уязвимости.

Организация также выпустила версии BIND 9.8.4-P2 и 9.9.2-P2, которые поддерживают постоянное выражение по умолчанию. BIND 9.7.x больше не поддерживается и не получит обновления.

«BIND 10 не подвержена этой уязвимости», - сказал ISC. «Однако во время этого консультативного задания BIND 10 не является« функцией полной »и в зависимости от ваших потребностей развертывания, возможно, не является подходящей заменой для BIND 9».

Согласно ISC, нет известных активных эксплойты на данный момент. Тем не менее, это может скоро измениться.

«Мне потребовалось около десяти минут работы, чтобы перейти от первого чтения консультанта ISC к разработке рабочего эксплойта», - сказал пользователь по имени Даниэль Франке в сообщении, отправленном на Full Раскрытие информации о рассылке в среду. «Мне даже не пришлось писать какой-либо код для этого, если вы не будете подсчитывать регулярные выражения [регулярные выражения] или файлы зон BIND в качестве кода. Вероятно, это будет незадолго до того, как кто-то другой предпримет те же шаги, и эта ошибка начнет эксплуатироваться в дикий ».

Франке отметил, что ошибка влияет на серверы BIND, которые« принимают передачу зон из ненадежных источников ». Тем не менее, это всего лишь один из возможных сценариев использования, сказал Джефф Райт (Jeff Wright), менеджер по обеспечению качества в ISC, в четверг в ответ на сообщение Franke.

«ISC хотел бы отметить, что вектор, идентифицированный г-ном Франке, не является единственное возможное, и что операторы * ANY * рекурсивных * ИЛИ * авторитетных серверов имен, выполняющих незагруженную установку уязвимой версии BIND, должны считать себя уязвимыми для этой проблемы безопасности », - сказал Райт. «Однако мы хотим выразить согласие с основным моментом комментария г-на Франке, который заключается в том, что требуемая сложность эксплойта для этой уязвимости невелика, и рекомендуется незамедлительно принять меры для обеспечения того, чтобы ваши серверы имен не подвергались риску».

Эта ошибка может быть серьезной угрозой, учитывая широкое использование BIND 9, по словам Дэн Холден, директора отдела инженерии безопасности и реагирования в компании DDoS по смягчению рисков Arbor Networks. Атакующие могут начать таргетинг на недостатки, учитывая внимание СМИ вокруг DNS в последние дни и низкую сложность такой атаки, сказал он в пятницу по электронной почте.

Хакеры нацелены на уязвимые серверы

Несколько компаний безопасности заявили ранее на этой неделе, что недавняя атака типа «отказ в обслуживании» (DDoS), нацеленная на организацию защиты от спама, была самой большой в истории и затронула критическую инфраструктуру Интернета. Злоумышленники использовали плохо настроенные DNS-серверы для усиления атаки.

«Существует тонкая грань между таргетингом на DNS-серверы и их использованием для выполнения таких атак, как усиление DNS», - сказал Холден. «Многие сетевые операторы считают, что их инфраструктура DNS является хрупкой, и часто они проводят дополнительные меры для защиты этой инфраструктуры, некоторые из которых усугубляют некоторые из этих проблем. Одним из таких примеров является развертывание встроенных IPS-устройств перед инфраструктурой DNS. смягчение этих атак с помощью проверки без гражданства практически невозможно ».

« Если операторы полагаются на встроенное обнаружение и смягчение последствий, очень немногие исследовательские организации по безопасности проводят активную работу по разработке своего собственного кода доказательной концепции, на котором основывается смягчение, - сказал Холден. «Таким образом, эти типы устройств будут очень редко получать защиту, пока мы не увидим полуобщинный рабочий код. Это дает злоумышленникам окно возможностей, которое они могут очень хорошо захватить».

Кроме того, исторически DNS-операторы были медленными для исправления и Холдинг сказал, что это может сыграть определенную роль, если мы увидим движение с этой уязвимостью.