פגם משאיר שרתים חשופים להתקפות של מניעת שירות

פגם במערכת ה- BIND DNS (Domain Name System) הנמצאת בשימוש נרחב יכול להיות מנוצל על ידי התוקפים מרחוק כדי לקרוס שרתי DNS ולהשפיע על הפעולה של תוכניות אחרות הפועלות על אותן מכונות.

הפגם נובע מן האופן שבו ביטויים רגולריים מעובדים על ידי ספריית libdns המהווה חלק מהתפלגות התוכנה BIND. גירסאות BIND 9.7.x, 9.8.0 עד 9.8.5b1 ו -9.9.0 עד 9.9.3b1 עבור מערכות דמויית UNIX חשופות לפגיעות, כך עולה ממדף אבטחה שפורסם ביום שלישי על ידי איגוד מערכות האינטרנט (ISC), תאגיד ללא כוונות רווח המפתחת ומתחזקת את התוכנה. גירסאות Windows של BIND אינן מושפעות.

BIND היא תוכנת שרת ה- DNS הנפוצה ביותר באינטרנט. זוהי תוכנת ה- DNS הסטנדרטית דה פקטו עבור מערכות יוניקס רבות, כולל לינוקס, Solaris, גרסאות BSD שונות ו- Mac OS X.

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows]

התקפה יכולה לקרוס שרתים

ניתן לנצל את הפגיעות על-ידי שליחת בקשות בעלות מבנה ספציפי להתקנות פגיעות של BIND שיגרמו לתהליך שרת ה- DNS - השם daemon, המכונה "שם" - לצרוך משאבי זיכרון מוגזמים. דבר זה עלול לגרום להתרסקות תהליך שרת ה- DNS ולפעולתן של תוכניות אחרות שנפגעו קשות.

"ניצול מכוון של מצב זה עלול לגרום למניעת שירות בכל שרתי השמות הסמכותיים והרקורסיבים הפועלים בגרסאות מושפעות", אמר המרכז. הארגון מעריך את הפגיעות כקריטית. (ראה גם "4 דרכים להתכונן ולהדוף את התקפות DDoS").

אחת הדרכים המוצעות על ידי ISC היא לקמפל את BIND ללא תמיכה בביטויים רגולריים, הכוללים את העריכה הידנית של הקובץ "config.h" בעלון היידוע. ההשפעה של פעולה זו מוסברת במאמר נפרד של ISC, אשר עונה גם על שאלות נפוצות אחרות לגבי הפגיעות.

הארגון גם הוציא גרסאות BIND 9.8.4-P2 ו- 9.9.2-P2, כברירת מחדל. BIND 9.7.x אינו נתמך עוד ולא יקבל עדכון.

"BIND 10 אינו מושפע מפגיעות זו", אמר ISC. "עם זאת, בעת היידוע, BIND 10 אינו 'תכונה שלמה', ובהתאם לצרכי הפריסה שלך, ייתכן שלא יהיה תחליף מתאים ל- BIND 9."

לפי ISC, אין פעילות ידועה מנצל כרגע. עם זאת, זה עשוי להשתנות בקרוב.

"לקח לי בערך עשר דקות של עבודה כדי ללכת לקרוא את היועצת ISC בפעם הראשונה לפתח ניצול לרעה", אמר משתמש בשם דניאל Franke בהודעה שנשלחו גילוי רשימת דיוור אבטחה ביום רביעי. "אני אפילו לא צריך לכתוב כל קוד כדי לעשות את זה, אלא אם כן אתה סופר regexes [ביטוי רגיל] או BIND אזור קבצים כמו קוד.זה כנראה לא יהיה הרבה זמן לפני שמישהו אחר לוקח את אותם צעדים זה באג מתחיל לקבל מנוצל בטבע. "

Franke ציין כי באג משפיע על שרתי BIND כי" לקבל העברות אזור ממקורות לא מהימנים. " עם זאת, זהו רק תרחיש ניצול אפשרי אחד, אמר ג'ף רייט, מנהל אבטחת האיכות ב- ISC, ביום חמישי בתשובה להודעה של פרנק.

"ISC רוצה לציין שהווקטור שזוהה על ידי מר פרנקה אינו היחיד שאפשר, ומפעילים של * כל * רקורסיבית * או * שרתי שמות סמכותיים המפעילים התקנה לא מתוכננת של גירסה מושפעת של BIND, צריכים לראות עצמם פגיעים לנושא האבטחה הזה ", אמר רייט. "עם זאת, אנו רוצים להביע הסכמה עם הנקודה העיקרית של ההערה של מר פרנקה, אשר המורכבות הנדרשת של ניצול לרעה את הפגיעות היא לא גבוהה, פעולה מיידית מומלץ להבטיח את השמות שלך אינם בסיכון".

באג זה יכול להיות איום רציני בהתחשב בשימוש נרחב של BIND 9, על פי דן הולדן, מנהל צוות הנדסת אבטחה ותגובה ב DDoS ספקית הפחתת ארבור נטוורקס. התקיפה עלולה להתחיל למקד את הפגם בהינתן תשומת הלב התקשורתית סביב ה- DNS בימים האחרונים והמורכבות הנמוכה של התקפה כזו, הוא אמר ביום שישי בדואר האלקטרוני.

האקרים מכוונים לשרתים פגיעים

מספר חברות אבטחה אמרו בתחילת השבוע כי ההתקפה שהופצה לאחרונה על שירות של דואר זבל (DDoS), שמטרתה למנוע אנטי ספאם הייתה הגדולה ביותר בהיסטוריה, והשפיעה על תשתיות אינטרנט קריטיות. התקיפים עשו שימוש בשרתי DNS מוגדרים היטב כדי להגביר את ההתקפה.

"יש קו דק בין מיקוד שרתי DNS ושימוש בהם לביצוע התקפות כגון הגברה של DNS", אמר הולדן. "מפעילי רשתות רבים מרגישים שתשתית ה- DNS שלהם היא שבירה ולעתים קרובות הם עוברים צעדים נוספים כדי להגן על התשתית הזו, שחלקם מחריפים חלק מבעיות אלה.דוגמה אחת היא פריסת מכשירי שב"ס מוטבעים מול תשתית DNS. להקטין את ההתקפות הללו עם בדיקה חסרת נתינות "." אם המפעילים מסתמכים על זיהוי וזיהוי מוטבעים, מעט מאוד ארגוני מחקר בתחום האבטחה עוסקים בפיתוח קוד ההוכחה העצמית שלהם, "אמר הולדן. "לכן, סוגים אלה של מכשירים יהיה מאוד נדיר לקבל הגנה עד שאנחנו רואים קוד עובד הציבור למחצה.זה נותן לתוקפים חלון הזדמנויות שהם יכולים מאוד לתפוס."

כמו כן, מפעילי DNS היסטורית כבר איטי תיקון זה בהחלט יכול לבוא לידי ביטוי אם אנחנו רואים תנועה עם הפגיעות הזו, אמר הולדן