A je to tady zase… aneb vzdálený DoS na Bind9

Včera (chtěl jsem napsat dneska, ale to už jsem o nějakých 40 minut nestihl), přibyla v systému na sledování chyb, který provozuje Debian, nová chybka. Bohužel se nakonec ukázalo, že to nebyla ani chybka, ani chyba, ale přímo velechyba (vzor ryba :)).

Tudíž pozor – ve všech verzích Bind9 je chyba, která umožní útočníkovi pomocí speciálně vytvořené DNS zprávy (a kód na vytvoření takové zprávy byl rovnou přiložen v hlášení chyby) shodit váš DNS server. Tedy za předpokladu, že takový DNS server obsahuje alespoň jednu autoritativní doménu, která je útočníkovi známa.

Aktualizace: DNS serveru musí pro konkrétní zónu být master. A mimochodem do toho spadají i rekurzivní servery, které se řídí RFC1912 sekcí 4.1, a obsluhují zóny localhost, 0.0.127.in-addr.arpa, 255.in-addr.arpa a 0.in-addr.arpa.

Obrany jsou dvě, z toho jedna preventivní. První obranou je použít aktualizovanou verzi Bind9 (9.4.3-P3, 9.5.1-P3 nebo 9.6.1-P1). Druhou obranou, která je i prevencí, je neprovozovat DNS monokulturu. DNS je vcelku odolný protokol a tak mu většinou stačí, když běží alespoň jeden DNS server. Proto je obranou provozovat serverů více a používat různý DNS software. Pro autoritativní server je to například NSD. Tím zvýšíte pravděpodobnost, že podobný útok nepostihne všechny (což jsou u normálních doménových jmen většinou dva) autoritativní DNS servery, ale pouze jeden.

Podobná nebo jiná chyba se stejným způsobem může objevit u NSD, Bind9 může být pro změnu v pořádku. Jen je důležité nemít zranitelné všechny (oba) servery stejnou bezpečnostní chybou.

Ondřej Surý

Autor:

Komentáře (7)

  1. Mitchi říká:

    Tak toto přesně nás postihlo. Posledních pár dní už jsme s toho byli fakt zoufalí :-( Naštěstí se nám na to podařilo přijít ale bylo to hodně nepříjemné. Naše stránky se pře směrovávali na zavirované servery a opustit tyto stránky zejména v Internet Exploreru na pc který nebyl vybavenl antivirovým programem byl opravdu zážitek. Mnohdy mohlo až ukončení IE přes taks manager a bylo jedno jestli je to IE6 nebo IE7 či poslední IE8 u Mozilly takový problém nikdy nenastal. Proto jsme si furt lámali hlavu čím to může být a upgradovali jsme jednu věc po druhé až jsme skončili u DNS které nás ani ve snu nenapadlo.

  2. Ondřej Surý říká:

    Já se obávám, že to je úplně něco jiného. Tato chyba způsobí „jen“ pád DNS serveru a nikoli Vámi popisované chování.

  3. Mitchi říká:

    Pomohl až upgrade DNS. DoS útok byl veden na server před cca 10dny a cca tři dny dozadu se začali stránky z nepochopitelných důvodů přesměrovávat.

  4. Mitchi říká:

    Díky moc za info. Budeme si to ted více hlídat.

  5. Ondřej Surý říká:

    To jsem rád :). Za CZ.NIC se budeme snažit informovat o problémech v DNS světě prostřednictvím tohoto blogu i nadále. Díky za přizeň.

  6. Mitchi říká:

    Nainstalovana nová verze + všechny patche a problém je dnes zpět :-( Už rezignujeme a přesováme na jiný server.

Zanechte komentář