Un faille laisse les serveurs vulnérables aux attaques par déni de service

Une faille dans le logiciel BIND DNS (Domain Name System) largement utilisé peut être exploitée par des attaquants distants afin de provoquer des crash de serveurs DNS et affecter l'opération.

La faille provient de la façon dont les expressions régulières sont traitées par la bibliothèque libdns qui fait partie de la distribution du logiciel BIND. Les versions BIND 9.7.x, 9.8.0 à 9.8.5b1 et 9.9.0 à 9.9.3b1 pour les systèmes de type UNIX sont vulnérables, selon un avis de sécurité publié mardi par l'Internet Systems Consortium (ISC), une société à but non lucratif qui développe et maintient le logiciel. Les versions Windows de BIND ne sont pas affectées.

BIND est de loin le logiciel de serveur DNS le plus utilisé sur Internet. C'est le logiciel standard DNS de facto pour de nombreux systèmes de type UNIX, y compris Linux, Solaris, diverses variantes BSD et Mac OS X.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

L'attaque peut planter servers

La vulnérabilité peut être exploitée en envoyant des requêtes spécialement conçues aux installations vulnérables de BIND qui provoqueraient le processus du serveur DNS - le démon de nom, connu sous le nom de "named", pour consommer des ressources mémoire excessives. Cela peut entraîner une panne du processus du serveur DNS et affecter sérieusement le fonctionnement des autres programmes

"L'exploitation intentionnelle de cette condition peut entraîner un déni de service dans tous les serveurs de noms faisant autorité et récursifs exécutant des versions affectées". L'organisation considère la vulnérabilité comme critique. (Voir aussi "4 façons de se préparer et de repousser les attaques DDoS.")

Une solution proposée par l'ISC consiste à compiler BIND sans prendre en charge les expressions régulières, ce qui implique de modifier manuellement le fichier "config.h" dans l'avis. L'impact de cela est expliqué dans un article séparé de l'ISC qui répond également à d'autres questions fréquemment posées sur la vulnérabilité.

L'organisation a également publié les versions BIND 9.8.4-P2 et 9.9.2-P2, qui ont le support des expressions régulières désactivé par défaut. BIND 9.7.x n'est plus supporté et ne recevra pas de mise à jour.

"BIND 10 n'est pas affecté par cette vulnérabilité", a déclaré l'ISC. "Cependant, au moment de cet avis, BIND 10 n'est pas" complet ", et selon vos besoins de déploiement, peut ne pas être un remplacement approprié pour BIND 9".

Selon l'ISC, il n'y a pas d'actif connu exploits en ce moment. Cependant, cela pourrait bientôt changer.

"Il m'a fallu environ dix minutes de travail pour lire l'avis de l'ISC pour la première fois pour développer un exploit de travail", a déclaré un utilisateur du nom de Daniel Franke dans un message Liste de diffusion de sécurité de divulgation mercredi. «Je n'avais même pas besoin d'écrire de code pour le faire, à moins de compter les expressions rationnelles [expressions régulières] ou les fichiers de zone BIND en tant que code.Il ne sera probablement pas long avant que quelqu'un d'autre prenne les mêmes mesures. le sauvage. "

Franke a noté que le bogue affecte les serveurs BIND qui" acceptent les transferts de zone de sources non fiables. " Cependant, ce n'est qu'un scénario d'exploitation possible, a déclaré jeudi Jeff Wright, responsable de l'assurance qualité à l'ISC, en réponse au message de Franke.

"ISC voudrait souligner que le vecteur identifié par M. Franke n'est pas le seul possible, et que les opérateurs de serveurs de noms * ANY * récursifs * OR * autoritaires exécutant une installation non corrigée d'une version affectée de BIND devraient se considérer comme vulnérables à ce problème de sécurité ", a déclaré Wright. "Nous souhaitons toutefois exprimer notre accord avec le point principal du commentaire de M. Franke, à savoir que la complexité de l'exploit pour cette vulnérabilité n'est pas élevée et qu'une action immédiate est recommandée pour garantir que vos serveurs de noms ne courent aucun risque."

Selon Dan Holden, directeur de l'équipe d'ingénierie et d'intervention de sécurité chez Arbor Networks, fournisseur d'atténuation des attaques DDoS, ce bogue pourrait être une menace sérieuse compte tenu de l'utilisation généralisée de BIND 9. Les attaquants pourraient commencer à cibler la faille étant donné l'attention médiatique entourant le DNS ces derniers jours et la faible complexité d'une telle attaque, a-t-il déclaré vendredi par courriel. La récente attaque par déni de service distribué (DDoS) visant une organisation antispam était la plus importante de l'histoire et affectait l'infrastructure Internet critique. Les attaquants ont utilisé des serveurs DNS mal configurés pour amplifier l'attaque.

"Il est difficile de cibler les serveurs DNS et de les utiliser pour effectuer des attaques telles que l'amplification DNS", a déclaré M. Holden. «De nombreux opérateurs de réseau estiment que leur infrastructure DNS est fragile et prennent souvent des mesures supplémentaires pour protéger cette infrastructure, dont certaines aggravent certains de ces problèmes, notamment le déploiement de périphériques IPS en ligne devant l'infrastructure DNS. »

« Si les opérateurs comptent sur la détection et l'atténuation en ligne, très peu d'organismes de recherche en sécurité sont proactifs dans l'élaboration de leur propre code de validation de principe sur lequel fonder une atténuation, "Dit Holden. "Ainsi, ces types de dispositifs seront très rarement protégés tant que nous n'aurons pas vu de code de travail semi-public, ce qui donnera aux attaquants une opportunité qu'ils saisiront très probablement."

Historiquement, les opérateurs DNS ont mis du temps à cela peut certainement entrer en jeu si nous voyons un mouvement avec cette vulnérabilité, a dit Holden.