Fornitori di firewall scramble per risolvere il problema DNS

Quasi un mese dopo che è stato segnalato un difetto critico nel sistema dei nomi di dominio di Internet, i fornitori di alcuni dei software firewall più diffusi stanno cercando di risolvere un problema che può essenzialmente annullare parte delle patch che risolvono questo bug.

La falla del DNS riguarda il software del server realizzato da molti fornitori, tra cui Microsoft, Cisco Systems e il consorzio Internet Systems.

Alcuni software firewall annullano una funzione di randomizzazione della porta sorgente che è stata introdotta nelle patch DNS. Anche se questa modifica non annulla completamente la patch DNS, potrebbe rendere più facile per gli attaccanti effettuare un attacco di avvelenamento della cache contro il server DNS, dicono gli esperti di sicurezza.

[Ulteriori letture: i migliori NAS per lo streaming multimediale e backup]

Ciò potrebbe portare ad attacchi di phishing virtualmente non rilevabili contro gli utenti di quei server DNS.

Firewall che eseguono la conversione degli indirizzi IP (Internet Protocol) - convertire gli indirizzi IP utilizzati dai computer nelle loro reti interne in indirizzi IP diversi che sono usati dagli altri computer su Internet - a volte possono annullare la casualità della porta sorgente, dicono gli esperti di sicurezza.

La portata del problema inizialmente ha sorpreso alcuni esperti DNS, ha detto Dan Kaminsky, il ricercatore IOActive che ha scoperto per primo il bug del DNS "Questo è in qualche modo colpa nostra", ha detto in un'intervista via e-mail. "Abbiamo sottostimato il numero di firewall là fuori che sono stati distribuiti davanti ai server DNS."

"Cisco, Juniper, Citrix e un certo numero di altri fornitori di firewall si sono dati da fare per aggiornare le proprie apparecchiature", ha aggiunto.

Questi venditori dicono che potrebbero essere ancora settimane prima che tutti i prodotti siano corretti.

Mercoledì, Cisco ha aggiornato il proprio Security Advisory sul problema DNS per fornire ai clienti indicazioni su come gestire il problema, ha dichiarato Russ Smoak, un direttore di Cisco Team di risposta agli incidenti di sicurezza del prodotto. Il problema riguarda i clienti Cisco che utilizzano il firewall per eseguire la traduzione degli indirizzi di porta (PAT), ha affermato. "Se possiedi un firewall PAT, la cosa migliore che puoi fare è consultare il nostro documento, capire come è configurata la nostra rete e se hai bisogno della correzione fornita, quindi installare la correzione."

Nel frattempo, la rete Gli amministratori possono inoltrare le loro ricerche DNS ai server i cui indirizzi di porta non vengono tradotti o semplicemente riconfigurare il firewall, ha detto Kaminsky.

Juniper Networks prevede di fornire un'opzione casuale per i suoi prodotti nelle prossime settimane, ha detto la portavoce di Juniper Cindy Ta, via e-mail.

Tuttavia, non tutti i fornitori di firewall sono interessati. Il software Check Point, ad esempio, dice che i suoi firewall non hanno questo problema.

Il difetto del DNS di Kaminsky influisce su una così vasta gamma di prodotti che non sorprende che ci siano stati alcuni problemi nel processo di patch. All'inizio di questa settimana, gli esperti DNS hanno riferito che la patch che avevano creato stava rallentando le prestazioni su alcuni server ad alto traffico, quelli che venivano colpiti con oltre 10.000 query al secondo. Venerdì il venditore di sicurezza nCircle ha riferito che la correzione di Apple per il problema DNS non funzionava correttamente.

Il presidente del consorzio dei sistemi Internet Paul Vixie definisce il problema della traduzione delle porte un "grosso problema", ma ha detto che nonostante qualche scetticismo, gli utenti sono iniziando a capire la gravità della situazione. Quando Kaminsky discusse per la prima volta il problema, alcuni esperti di sicurezza dissero che il problema sembrava essere semplicemente un ripasso di un problema noto.

Ma dopo che il bug venne inavvertitamente rivelato la settimana scorsa, alcuni scettici cambiarono la loro sintonia.

"Questo continua a essere un disastro ", ha detto via e-mail. "Ma almeno non ci sono più negatori là fuori che infangano le acque con il messaggio 'esagerato, non urgente'."

(La volontà di Schultz di PC World ha contribuito a questa storia).