Lỗ hổng khiến máy chủ dễ bị tấn công từ chối dịch vụ

Một lỗ hổng trong phần mềm BIND DNS (Domain Name System) được sử dụng rộng rãi có thể được khai thác bởi những kẻ tấn công từ xa để làm hỏng các máy chủ DNS và ảnh hưởng đến hoạt động. các chương trình khác chạy trên cùng một máy.

Lỗ hổng bắt nguồn từ cách biểu thức thông thường được xử lý bởi thư viện libdns, một phần của phân phối phần mềm BIND. BIND phiên bản 9.7.x, 9.8.0 lên đến 9.8.5b1 và 9.9.0 lên đến 9.9.3b1 cho các hệ thống giống UNIX là dễ bị tổn thương, theo một tư vấn bảo mật được công bố hôm thứ Ba bởi Internet Systems Consortium (ISC), một công ty phi lợi nhuận phát triển và duy trì phần mềm. Các phiên bản Windows BIND không bị ảnh hưởng.

BIND là phần mềm máy chủ DNS được sử dụng rộng rãi nhất trên Internet. Đây là phần mềm DNS chuẩn trên thực tế cho nhiều hệ thống giống UNIX, bao gồm Linux, Solaris, các biến thể BSD khác nhau và Mac OS X.

[Đọc thêm: Cách xóa phần mềm độc hại khỏi PC Windows]

Tấn công có thể gặp sự cố máy chủ

Lỗ hổng có thể được khai thác bằng cách gửi các yêu cầu được tạo thủ công đến các cài đặt BIND dễ gây ra máy chủ DNS xử lý tên daemon, được gọi là "có tên" - để tiêu thụ tài nguyên bộ nhớ quá mức. Điều này có thể dẫn đến quá trình máy chủ DNS bị lỗi và hoạt động của các chương trình khác bị ảnh hưởng nghiêm trọng.

"Việc khai thác cố ý tình trạng này có thể làm từ chối dịch vụ trong tất cả các máy chủ tên có thẩm quyền và đệ quy đang chạy các phiên bản bị ảnh hưởng". Tổ chức xếp hạng các lỗ hổng là quan trọng. (Xem thêm "4 cách để chuẩn bị và chống đỡ các cuộc tấn công DDoS.")

Một cách giải quyết được đề xuất bởi ISC là biên dịch BIND mà không hỗ trợ cho các biểu thức chính quy, bao gồm chỉnh sửa thủ công tệp "config.h". trong tư vấn. Tác động của việc này được giải thích trong một bài viết riêng của ISC cũng trả lời các câu hỏi thường gặp khác về lỗ hổng.

Tổ chức cũng phát hành các phiên bản BIND 9.8.4-P2 và 9.9.2-P2, đã tắt hỗ trợ biểu thức chính quy theo mặc định. BIND 9.7.x không còn được hỗ trợ và sẽ không nhận được bản cập nhật.

"BIND 10 không bị ảnh hưởng bởi lỗ hổng này", ISC cho biết. "Tuy nhiên, tại thời điểm tư vấn này, BIND 10 không phải là 'tính năng hoàn thành' và tùy thuộc vào nhu cầu triển khai của bạn, có thể không phải là sự thay thế phù hợp cho BIND 9."

Theo ISC, không có hoạt động nào được biết khai thác tại thời điểm này. Tuy nhiên, điều đó có thể sớm thay đổi.

"Tôi mất khoảng mười phút làm việc để đọc từ tư vấn ISC lần đầu tiên để phát triển một cuộc khai thác," một người dùng tên là Daniel Franke nói trong một tin nhắn gửi đến Full Tiết lộ danh sách gửi thư bảo mật vào thứ Tư. "Tôi thậm chí không phải viết bất kỳ mã nào để làm điều đó, trừ khi bạn đếm regexes [cụm từ thông dụng] hoặc các tệp BIND zone dưới dạng mã. Có thể sẽ không lâu trước khi người khác thực hiện các bước tương tự và lỗi này bắt đầu bị khai thác trong "

Franke lưu ý rằng lỗi ảnh hưởng đến các máy chủ BIND" chấp nhận chuyển vùng từ các nguồn không đáng tin cậy. " Tuy nhiên, đó chỉ là một kịch bản khai thác có thể xảy ra, Jeff Wright, giám đốc đảm bảo chất lượng tại ISC, hôm thứ Năm trả lời tin nhắn của Franke.

"ISC muốn chỉ ra rằng vector được ông Franke xác định không phải là người duy nhất có thể, và các nhà khai thác của * ANY * đệ quy * HOẶC * máy chủ định danh có thẩm quyền chạy một bản cài đặt chưa được vá của một phiên bản BIND bị ảnh hưởng nên tự coi mình là vấn đề bảo mật, "Wright nói. Tuy nhiên, chúng tôi mong muốn thỏa thuận với điểm chính của nhận xét của ông Franke, đó là độ phức tạp cần thiết của việc khai thác lỗ hổng này không cao, và hành động ngay lập tức được khuyến khích để đảm bảo máy chủ tên của bạn không gặp rủi ro.

Lỗi này có thể là một mối đe dọa nghiêm trọng xem xét việc sử dụng rộng rãi BIND 9, theo Dan Holden, giám đốc kỹ thuật an ninh và nhóm phản hồi tại nhà cung cấp giảm nhẹ DDoS Arbor Networks. Những kẻ tấn công có thể bắt đầu nhắm vào lỗ hổng do sự chú ý của giới truyền thông xung quanh DNS trong những ngày gần đây và mức độ phức tạp thấp của một cuộc tấn công như vậy. cuộc tấn công từ chối dịch vụ (DDoS) được phân phối gần đây nhắm vào một tổ chức chống thư rác là lớn nhất trong lịch sử và bị ảnh hưởng bởi cơ sở hạ tầng Internet quan trọng. Những kẻ tấn công sử dụng các máy chủ DNS được cấu hình kém để khuếch đại cuộc tấn công.

"Có một ranh giới giữa các máy chủ DNS nhắm mục tiêu và sử dụng chúng để thực hiện các cuộc tấn công như khuếch đại DNS", Holden nói. "Nhiều nhà khai thác mạng cảm thấy rằng cơ sở hạ tầng DNS của họ rất mong manh và thường xuyên thực hiện các biện pháp bổ sung để bảo vệ cơ sở hạ tầng này, một số trong đó càng làm trầm trọng thêm một số vấn đề như vậy. Một ví dụ là triển khai thiết bị IPS nội tuyến phía trước cơ sở hạ tầng DNS. "

" Nếu các nhà khai thác dựa vào việc phát hiện và giảm thiểu nội tuyến, rất ít tổ chức nghiên cứu an ninh chủ động phát triển mã chứng minh-khái niệm của riêng họ để giảm thiểu, "Holden nói. "Vì vậy, những loại thiết bị này sẽ rất hiếm khi được bảo vệ cho đến khi chúng ta thấy mã làm việc bán công khai. Điều này cho phép kẻ tấn công có cơ hội nắm bắt được rất nhiều."

Điều này chắc chắn sẽ đi vào hoạt động nếu chúng ta thấy chuyển động với lỗ hổng này, Holden nói.