Fehler macht Server anfällig für Denial-of-Service-Angriffe

Ein Fehler in der weit verbreiteten BIND-DNS-Software (Domain Name System) kann Angreifern helfen, DNS-Server zum Absturz zu bringen anderer Programme, die auf denselben Rechnern laufen.

Der Fehler rührt von der Art her, wie reguläre Ausdrücke von der libdns-Bibliothek verarbeitet werden, die Teil der BIND-Softwareverteilung ist. BIND-Versionen 9.7.x, 9.8.0 bis 9.8.5b1 und 9.9.0 bis 9.9.3b1 für UNIX-ähnliche Systeme sind laut einer Sicherheitsberichterstattung des Internet Systems Consortium (ISC), einer gemeinnützigen Organisation, anfällig das entwickelt und pflegt die Software. Die Windows-Versionen von BIND sind davon nicht betroffen.

BIND ist bei weitem die am häufigsten verwendete DNS-Serversoftware im Internet. Es ist die De-facto-Standard-DNS-Software für viele UNIX-ähnliche Systeme, einschließlich Linux, Solaris, verschiedene BSD-Varianten und Mac OS X.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Angriff kann abstürzen Server

Die Sicherheitsanfälligkeit kann ausgenutzt werden, indem speziell gestaltete Anforderungen an anfällige Installationen von BIND gesendet werden, die dazu führen, dass der DNS-Server - namens "named" - übermäßige Speicherressourcen verbraucht. Dies kann dazu führen, dass der DNS-Server-Prozess abstürzt und der Betrieb anderer Programme stark beeinträchtigt wird.

"Vorsätzliche Ausnutzung dieser Bedingung kann Denial-of-Service in allen autorisierenden und rekursiven Nameservern mit betroffenen Versionen verursachen", sagte der ISC. Die Organisation bewertet die Sicherheitsanfälligkeit als kritisch. (Siehe auch "4 Möglichkeiten, sich auf DDoS-Angriffe vorzubereiten und abzuwehren.")

Eine vom ISC vorgeschlagene Problemumgehung besteht darin, BIND ohne Unterstützung für reguläre Ausdrücke zu kompilieren, was die manuelle Bearbeitung der Datei "config.h" mithilfe der bereitgestellten Anweisungen beinhaltet in der Beratung. Die Auswirkungen dieser Vorgehensweise werden in einem separaten ISC-Artikel erläutert, der auch andere häufig gestellte Fragen zur Sicherheitsanfälligkeit beantwortet.

Die Organisation hat auch die BIND-Versionen 9.8.4-P2 und 9.9.2-P2 veröffentlicht, die die Unterstützung für reguläre Ausdrücke deaktiviert haben standardmäßig. BIND 9.7.x wird nicht mehr unterstützt und erhält kein Update.

"BIND 10 ist von dieser Sicherheitsanfälligkeit nicht betroffen", sagte der ISC. "Zum Zeitpunkt dieser Empfehlung ist BIND 10 jedoch nicht, Feature Complete 'und ist je nach Ihren Bereitstellungsbedürfnissen möglicherweise kein geeigneter Ersatz für BIND 9."

Laut ISC sind keine aktiven Aktivitäten bekannt Exploits im Moment. Das könnte sich aber bald ändern.

"Ich brauchte etwa zehn Minuten Arbeit, um vom ISC-Advisory zum ersten Mal einen funktionierenden Exploit zu entwickeln", sagte ein Nutzer namens Daniel Franke in einer Nachricht an die Full Disclosure Security Mailingliste am Mittwoch. "Ich musste nicht einmal Code schreiben, um es zu tun, es sei denn, Sie zählen reguläre Ausdrücke oder BIND-Zonendateien als Code. Es wird wahrscheinlich nicht lange dauern, bis jemand anders die gleichen Schritte unternimmt und dieser Fehler beginnt, ausgenutzt zu werden." the wild. "

Franke bemerkte, dass der Fehler BIND-Server betrifft, die" Zonenübertragungen von nicht vertrauenswürdigen Quellen akzeptieren ". Dies ist jedoch nur ein mögliches Ausbeutungsszenario, sagte Jeff Wright, Leiter der Qualitätssicherung am ISC, am Donnerstag in einer Antwort auf Frankes Nachricht.

"ISC möchte darauf hinweisen, dass der von Herrn Franke identifizierte Vektor dies nicht ist das einzig mögliche, und dass die Operatoren von * ANY * rekursiven * ODER * autoritativen Nameservern, die eine ungepatchte Installation einer betroffenen Version von BIND ausführen, sollten sich als anfällig für dieses Sicherheitsproblem betrachten ", sagte Wright. "Wir möchten jedoch mit dem Hauptpunkt von Herrn Frankes Kommentar übereinstimmen, dass die erforderliche Komplexität des Exploits für diese Sicherheitslücke nicht hoch ist und sofortige Maßnahmen empfohlen werden, um sicherzustellen, dass Ihre Nameserver nicht gefährdet sind."

Laut Dan Holden, Direktor des Teams für Sicherheitstechnik und Reaktion bei dem DDoS-Mitigations-Anbieter Arbor Networks, könnte dieser Bug eine ernsthafte Bedrohung darstellen, wenn man den breiten Einsatz von BIND 9 in Betracht zieht. Angreifer könnten angesichts der Medienaufmerksamkeit, die DNS in den letzten Tagen umgibt, und der geringen Komplexität eines solchen Angriffs auf den Fehler zielen, sagte er am Freitag per E-Mail.

Hacker zielen auf angreifbare Server ab

Mehrere Sicherheitsfirmen sagten Anfang der Woche, dass a Der jüngste DDoS-Angriff (Distributed Denial-of-Service), der auf eine Anti-Spam-Organisation abzielte, war der größte in der Geschichte und beeinträchtigte die kritische Internet-Infrastruktur. Die Angreifer nutzten schlecht konfigurierte DNS-Server, um den Angriff zu verstärken.

"Es gibt eine feine Grenze zwischen dem Angriff auf DNS-Server und deren Verwendung für Angriffe wie die DNS-Verstärkung", sagte Holden. "Viele Netzbetreiber haben das Gefühl, dass ihre DNS-Infrastruktur zerbrechlich ist und gehen oft zusätzliche Maßnahmen ein, um diese Infrastruktur zu schützen. Einige von ihnen verschärfen einige dieser Probleme. Ein Beispiel hierfür ist die Bereitstellung von Inline-IPS-Geräten vor der DNS-Infrastruktur Diese Angriffe mit staatenloser Inspektion zu mildern, ist nahezu unmöglich. "

" Wenn sich Bediener auf Inline-Erkennung und -Minderung verlassen, sind nur sehr wenige Sicherheitsforschungsorganisationen proaktiv bei der Entwicklung eines eigenen Proof-of-Concept-Codes, auf den sich eine Abschwächung stützen kann. "Sagte Holden. "Daher werden diese Arten von Geräten sehr selten Schutz erhalten, bis wir halböffentlichen Arbeitscode sehen. Dies gibt Angreifern ein Fenster mit Möglichkeiten, die sie sehr gut nutzen können."

Auch DNS-Operatoren haben in der Vergangenheit nur sehr langsam gepatcht Dies könnte definitiv ins Spiel kommen, wenn wir eine Bewegung mit dieser Schwachstelle sehen, sagte Holden.