Falha deixa servidores vulneráveis ​​a ataques de negação de serviço

Uma falha no amplamente utilizado software BIND DNS (Domain Name System) pode ser explorada por atacantes remotos para travar servidores DNS e afetar a operação

A falha decorre da forma como as expressões regulares são processadas pela biblioteca libdns que faz parte da distribuição de software do BIND. Versões BIND 9.7.x, 9.8.0 até 9.8.5b1 e 9.9.0 até 9.9.3b1 para sistemas UNIX-like são vulneráveis, de acordo com um alerta de segurança publicado terça-feira pelo Internet Systems Consortium (ISC), uma corporação sem fins lucrativos. que desenvolve e mantém o software. As versões do Windows do BIND não são afetadas.

O BIND é de longe o software de servidor DNS mais usado na Internet. É o software DNS padrão de fato para muitos sistemas semelhantes ao UNIX, incluindo Linux, Solaris, várias variantes BSD e Mac OS X.

[Leitura adicional: Como remover malware do seu PC Windows]

O ataque pode falhar servidores

A vulnerabilidade pode ser explorada enviando solicitações especificamente criadas para instalações vulneráveis ​​do BIND que causariam o processo do servidor DNS - o daemon de nome, conhecido como "nomeado" - para consumir recursos de memória excessivos. Isso pode resultar na falha do processo do servidor DNS e na operação de outros programas afetados severamente.

"A exploração intencional dessa condição pode causar negação de serviço em todos os servidores de nomes autoritários e recursivos executando versões afetadas", disse o ISC. A organização classifica a vulnerabilidade como crítica. (Veja também "4 maneiras de se preparar e evitar ataques DDoS".)

Uma solução sugerida pelo ISC é compilar o BIND sem suporte a expressões regulares, o que envolve a edição manual do arquivo "config.h" usando as instruções fornecidas no advisory. O impacto de fazer isso é explicado em um artigo do ISC separado que também responde a outras perguntas freqüentes sobre a vulnerabilidade.

A organização também lançou as versões 9.8.4-P2 e 9.9.2-P2 do BIND, que têm suporte para expressão regular desativado. por padrão. O BIND 9.7.x não é mais suportado e não receberá uma atualização.

"O BIND 10 não é afetado por esta vulnerabilidade", disse o ISC. "No entanto, no momento deste aviso, o BIND 10 não é 'completo' e, dependendo das suas necessidades de implantação, pode não ser um substituto adequado para o BIND 9."

De acordo com o ISC, não há nenhum ativo ativo conhecido. explora no momento. No entanto, isso pode mudar em breve.

"Demorei cerca de dez minutos para ler o aviso do ISC pela primeira vez para desenvolver uma exploração de trabalho", disse um usuário chamado Daniel Franke em uma mensagem enviada ao Full Lista de discussão de segurança de divulgação na quarta-feira. "Eu nem precisei escrever nenhum código para fazer isso, a menos que você conte expressões regexes [expressões regulares] ou arquivos de zona BIND como código. Provavelmente não demorará muito para que alguém execute os mesmos passos e este bug comece a ser explorado em A franquia observou que o bug afeta servidores BIND que "aceitam transferências de zona de fontes não confiáveis". No entanto, esse é apenas um dos cenários de exploração possíveis, disse Jeff Wright, gerente de garantia de qualidade do ISC, quinta-feira em resposta à mensagem de Franke.

"ISC gostaria de salientar que o vetor identificado pelo Sr. Franke não é o único possível, e que os operadores de servidores de nomes com autoridade * OU * recursivos * OU * executando uma instalação não corrigida de uma versão afetada do BIND devem considerar-se vulneráveis ​​a esse problema de segurança ", disse Wright. "Desejamos, no entanto, expressar concordância com o ponto principal do comentário do Sr. Franke, que é que a complexidade exigida da exploração para esta vulnerabilidade não é alta, e uma ação imediata é recomendada para garantir que seus servidores de nomes não estejam em risco".

Esse bug pode ser uma séria ameaça, considerando o uso generalizado do BIND 9, de acordo com Dan Holden, diretor da equipe de engenharia e resposta de segurança do fornecedor de mitigação de DDoS Arbor Networks. Os atacantes podem começar a atacar a falha dada a atenção da mídia em torno do DNS nos últimos dias e a baixa complexidade de tal ataque, disse ele por email.

Hackers atacam servidores vulneráveis ​​

Várias empresas de segurança afirmaram no início desta semana que Um recente ataque de negação de serviço distribuído (DDoS, distributed denial-of-service) direcionado a uma organização anti-spam foi o maior da história e afetou a infraestrutura crítica da Internet. Os atacantes fizeram uso de servidores DNS mal configurados para amplificar o ataque. "Existe uma linha tênue entre direcionar servidores DNS e usá-los para realizar ataques como amplificação de DNS", disse Holden. "Muitas operadoras de rede acham que sua infra-estrutura de DNS é frágil e muitas vezes passam por medidas adicionais para proteger essa infraestrutura, algumas das quais exacerbam alguns desses problemas. Um exemplo é implantar dispositivos IPS em linha na frente da infra-estrutura do DNS. mitigar esses ataques com inspeção sem estado é quase impossível. "

" Se as operadoras confiarem na detecção e atenuação em linha, muito poucas organizações de pesquisa de segurança são proativas em desenvolver seu próprio código de prova de conceito no qual basear uma mitigação, "Holden disse. "Assim, esses tipos de dispositivos raramente obterão proteção até que vejamos código de trabalho semi-público. Isso dá aos atacantes uma oportunidade que eles podem muito bem aproveitar."

Além disso, historicamente os operadores de DNS têm sido lentos em corrigir e isso pode definitivamente entrar em jogo se virmos movimento com essa vulnerabilidade, disse Holden.