El defecto deja a los servidores vulnerables a ataques de denegación de servicio

Los atacantes remotos pueden explotar una falla en el ampliamente utilizado software BIND DNS (Sistema de nombres de dominio) para bloquear los servidores DNS y afectar la operación de otros programas que se ejecutan en las mismas máquinas.

El error radica en la forma en que las expresiones regulares son procesadas por la biblioteca libdns que es parte de la distribución del software BIND. Las versiones BIND 9.7.x, 9.8.0 hasta 9.8.5b1 y 9.9.0 hasta 9.9.3b1 para sistemas tipo UNIX son vulnerables, según un aviso de seguridad publicado el martes por el Consorcio de Sistemas de Internet (ISC), una corporación sin fines de lucro. que desarrolla y mantiene el software. Las versiones de Windows de BIND no se ven afectadas.

BIND es con diferencia el software de servidor DNS más utilizado en Internet. Es el software DNS estándar de facto para muchos sistemas tipo UNIX, incluyendo Linux, Solaris, varias variantes BSD y Mac OS X.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

El ataque puede bloquearse servidores

La vulnerabilidad puede explotarse enviando solicitudes específicamente diseñadas a instalaciones vulnerables de BIND que harían que el proceso del servidor DNS -el daemon conocido, conocido como "named" - consuma demasiados recursos de memoria. Esto puede ocasionar que el proceso del servidor DNS se bloquee y la operación de otros programas se vea gravemente afectada.

"La explotación intencional de esta condición puede causar denegación de servicio en todos los servidores de nombres autorizados y recursivos que ejecutan versiones afectadas", dijo el ISC. La organización califica la vulnerabilidad como crítica. (Consulte también "4 formas de prepararse y defenderse de los ataques DDoS".)

Una solución alternativa sugerida por el ISC es compilar BIND sin soporte para expresiones regulares, lo que implica editar manualmente el archivo "config.h" usando las instrucciones provistas. en el asesoramiento. El impacto de hacer esto se explica en un artículo separado de ISC que también responde a otras preguntas frecuentes sobre la vulnerabilidad.

La organización también lanzó versiones BIND 9.8.4-P2 y 9.9.2-P2, que tienen soporte para expresiones regulares deshabilitado. por defecto. BIND 9.7.x ya no es compatible y no recibirá una actualización.

"BIND 10 no se ve afectado por esta vulnerabilidad", dijo el ISC. "Sin embargo, en el momento de este aviso, BIND 10 no es una 'característica completa' y, dependiendo de sus necesidades de implementación, puede no ser un reemplazo adecuado para BIND 9."

Según el ISC, no se conocen activos explota en este momento. Sin embargo, eso podría cambiar pronto.

"Me tomó aproximadamente diez minutos de trabajo pasar de leer el aviso de ISC por primera vez al desarrollo de un exploit activo", dijo un usuario llamado Daniel Franke en un mensaje enviado a Full Lista de correo de seguridad de divulgación el miércoles. "Ni siquiera tuve que escribir ningún código para hacerlo, a menos que cuentes las expresiones regulares [expresiones regulares] o los archivos de zona BIND como código. Probablemente no pasará mucho tiempo antes de que alguien más siga los mismos pasos y este error empiece a ser explotado en el salvaje. "

Franke notó que el error afecta a los servidores BIND que" aceptan transferencias de zona de fuentes no confiables ". Sin embargo, ese es solo un posible escenario de explotación, dijo Jeff Wright, gerente de garantía de calidad en el ISC, el jueves en una respuesta al mensaje de Franke.

"ISC desea señalar que el vector identificado por el Sr. Franke no es el único posible, y que los operadores de * ANY * recursivos * OR * servidores de nombres autorizados que ejecuten una instalación no parcheada de una versión afectada de BIND deberían considerarse vulnerables a este problema de seguridad ", dijo Wright. "Sin embargo, deseamos expresar nuestro acuerdo con el punto principal del comentario del Sr. Franke, que es que la complejidad requerida del exploit para esta vulnerabilidad no es alta, y se recomienda una acción inmediata para garantizar que sus servidores de nombres no estén en riesgo".

Este error podría ser una seria amenaza teniendo en cuenta el uso generalizado de BIND 9, según Dan Holden, director del equipo de ingeniería de seguridad y respuesta del proveedor de mitigación de DDoS Arbor Networks. Los atacantes podrían comenzar a atacar la falla dada la atención de los medios que rodea al DNS en los últimos días y la baja complejidad de tal ataque, dijo el viernes por correo electrónico.

Los hackers apuntan a servidores vulnerables

Varias compañías de seguridad dijeron esta semana que el reciente ataque distribuido de denegación de servicio (DDoS) dirigido a una organización antispam fue el más grande en la historia y afectó la infraestructura crítica de Internet. Los atacantes hicieron uso de servidores DNS mal configurados para amplificar el ataque.

"Hay una delgada línea entre atacar servidores DNS y usarlos para realizar ataques como la amplificación DNS", dijo Holden. "Muchos operadores de red consideran que su infraestructura de DNS es frágil y con frecuencia adoptan medidas adicionales para proteger esta infraestructura, algunos de los cuales agravan algunos de estos problemas. Un ejemplo de esto es implementar dispositivos IPS en línea frente a la infraestructura DNS. mitigar estos ataques con la inspección sin estado es casi imposible. "

" Si los operadores confían en la detección y mitigación en línea, muy pocas organizaciones de investigación de seguridad son proactivas en desarrollar su propio código de prueba de concepto sobre el cual basar una mitigación, "Holden dijo. "Por lo tanto, estos tipos de dispositivos rara vez obtendrán protección hasta que veamos un código de trabajo semipúblico. Esto brinda a los atacantes una oportunidad que pueden aprovechar".

Además, históricamente los operadores de DNS han tardado en parchear y esto definitivamente puede entrar en juego si vemos movimiento con esta vulnerabilidad, dijo Holden.