Flaw lascia i server vulnerabili agli attacchi denial-of-service

Un difetto nel software BIND DNS (Domain Name System) ampiamente utilizzato può essere sfruttato da utenti remoti per arrestare i server DNS e influire sull'operazione di altri programmi in esecuzione sulle stesse macchine.

Il difetto deriva dal modo in cui le espressioni regolari vengono elaborate dalla libreria libdns che fa parte della distribuzione del software BIND. Le versioni BIND 9.7.x, 9.8.0 fino a 9.8.5b1 e 9.9.0 fino a 9.9.3b1 per sistemi UNIX-like sono vulnerabili, secondo un avviso di sicurezza pubblicato martedì dall'Internet Systems Consortium (ISC), una società senza fini di lucro che sviluppa e mantiene il software. Le versioni Windows di BIND non sono interessate.

BIND è di gran lunga il software server DNS più utilizzato su Internet. È di fatto il software DNS standard per molti sistemi simili a UNIX, tra cui Linux, Solaris, varie varianti BSD e Mac OS X.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

L'attacco può bloccarsi server

La vulnerabilità può essere sfruttata inviando richieste appositamente predisposte alle installazioni vulnerabili di BIND che causerebbe il processo del server DNS, il daemon name, noto come "named", per consumare risorse di memoria eccessive. Ciò può causare il crash del processo del server DNS e il funzionamento di altri programmi gravemente danneggiati.

"Lo sfruttamento intenzionale di questa condizione può causare il denial of service in tutti i nameserver autoritativi e ricorsivi che eseguono versioni interessate", ha affermato l'ISC. L'organizzazione classifica la vulnerabilità come critica. (Vedi anche "4 modi per prepararsi e respingere gli attacchi DDoS.")

Una soluzione alternativa suggerita dall'ISC è compilare BIND senza supporto per le espressioni regolari, che comporta la modifica manuale del file "config.h" utilizzando le istruzioni fornite nella consulenza. L'impatto di ciò è spiegato in un articolo ISC separato che risponde anche ad altre domande frequenti sulla vulnerabilità.

L'organizzazione ha anche rilasciato versioni BIND 9.8.4-P2 e 9.9.2-P2, che hanno il supporto per le espressioni regolari disabilitato per impostazione predefinita. BIND 9.7.x non è più supportato e non riceverà un aggiornamento.

"BIND 10 non è interessato da questa vulnerabilità", ha affermato l'ISC. "Tuttavia, al momento di questo avviso, BIND 10 non è" funzionalità completa "e, a seconda delle esigenze di implementazione, potrebbe non essere un sostituto adatto per BIND 9."

Secondo l'ISC, non sono noti attivi exploit al momento. Tuttavia, potrebbe presto cambiare.

"Mi ci sono voluti circa dieci minuti di lavoro per passare dalla lettura dell'advisory ISC per la prima volta allo sviluppo di un exploit di lavoro", ha detto un utente di nome Daniel Franke in un messaggio inviato a Full Mailing list sulla sicurezza di divulgazione di mercoledì. "Non avevo nemmeno bisogno di scrivere alcun codice per farlo, a meno che non contassi espressioni regolari [espressioni regolari] o BIND zone come codice. Probabilmente non passerà molto tempo prima che qualcun altro compia gli stessi passi e questo bug inizi a essere sfruttato in

Franke ha notato che l'errore riguarda i server BIND che "accettano trasferimenti di zona da fonti non attendibili". Tuttavia, questo è solo uno dei possibili scenari di sfruttamento, ha detto Jeff Wright, responsabile della garanzia di qualità presso l'ISC, giovedì in una risposta al messaggio di Franke.

"ISC vorrebbe sottolineare che il vettore identificato da Mr. Franke non è l'unico possibile e che gli operatori di * ANY * ricorsivi * OR * i server dei nomi autorevoli che eseguono un'installazione senza patch di una versione interessata di BIND dovrebbero considerarsi vulnerabili a questo problema di sicurezza ", ha affermato Wright. "Desideriamo, tuttavia, esprimere un accordo sul punto principale del commento di Franke, ovvero che la complessità richiesta per questa vulnerabilità non è elevata e si consiglia un'azione immediata per garantire che i server dei nomi non siano a rischio".

Questo bug potrebbe essere una seria minaccia considerando l'uso diffuso di BIND 9, secondo Dan Holden, direttore dell'ingegneria della sicurezza e del team di risposta del fornitore di attenuazione DDoS Arbor Networks. Gli hacker potrebbero iniziare a colpire il difetto data l'attenzione dei media che circonda il DNS negli ultimi giorni e la bassa complessità di un simile attacco, ha detto venerdì via e-mail.

Gli hacker si rivolgono ai server vulnerabili

Diverse società di sicurezza hanno detto all'inizio di il recente attacco DDoS (distributed denial-of-service) rivolto a un'organizzazione anti-spam è stato il più grande nella storia e ha interessato l'infrastruttura Internet critica. Gli hacker hanno utilizzato server DNS configurati male per amplificare l'attacco.

"Esiste una linea sottile tra il targeting dei server DNS e il loro utilizzo per eseguire attacchi come l'amplificazione DNS", ha detto Holden. "Molti operatori di rete ritengono che la loro infrastruttura DNS sia fragile e spesso adottano misure aggiuntive per proteggere questa infrastruttura, alcuni dei quali esacerbano alcuni di questi problemi: uno di questi è la distribuzione di dispositivi IPS in linea di fronte all'infrastruttura DNS. mitigare questi attacchi con ispezioni senza stato è quasi impossibile. "

" Se gli operatori si affidano al rilevamento e alla mitigazione in linea, pochissime organizzazioni di ricerca sulla sicurezza sono proattive nello sviluppare il proprio codice proof-of-concept su cui basare una mitigazione, "Ha detto Holden. "Pertanto, raramente questi tipi di dispositivi ottengono protezione fino a quando non vediamo codice di lavoro semi-pubblico, offrendo agli hacker una finestra di opportunità che possono benissimo cogliere."

Inoltre, storicamente gli operatori DNS sono stati lenti a correggere e questo può sicuramente entrare in gioco se vediamo un movimento con questa vulnerabilità, ha detto Holden.