DoS-aanvallen op DNS-server Bind
Gepubliceerd: Donderdag 30 juli 2009
Auteur: Koen Vervloesem
Een kwetsbaarheid in de populaire open source DNS-server Bind 9 laat aanvallers toe om de server van een afstand te doen crashen. Het ISC heeft al een update uitgebracht, net als heel wat Linux-distributies.
Volgens het foutenrapport is het voldoende om één speciaal geprepareerd "dynamic update" pakket naar een zone te sturen waarvan de DNS-server de master is. Het gevolg is dat die DNS-server dan geen hostnamen meer vertaalt naar IP-adressen, waardoor het om een denial-of-service (DoS) aanval gaat. Dynamic updates worden door geauthoriseerde DNS-servers gebruikt om records toe te voegen aan of te verwijderen van een zone.
Geen authenticatie nodig
Het gaat om een ernstig DoS-probleem omdat aanvallers geen enkele authenticatie nodig hebben om het lek te misbruiken. Bovendien vereist de server ook geen speciale configuratie: de aanval werkt ook voor servers die niet geconfigureerd zijn om dynamic updates toe te laten. Volgens de producent ISC (Internet Systems Consortium) is de aanval echter alleen succesvol in systemen waar Bind als een master voor een zone is opgezet. Aanvallen tegen slave zones zijn niet effectief. De enige workaround is een firewall-regel instellen om nsupdate-boodschappen naar de DNS-server tegen te houden.
Exploit
Op hetzelfde moment dat de kwetsbaarheid werd aangekondigd werd er ook een exploit gepubliceerd om een kwaadaardig pakket te fabriceren, wat het nog belangrijker maakt om te upgraden. Het ISC raadt gebruikers dan ook aan om hun Bind-servers zo vlug mogelijk te upgraden naar versies 9.4.3-P3, 9.5.1-P3 of 9.6.1-P1. Veel Linux-distributies hebben hun Bind-pakket al een update gegeven.
Bind heeft in het verleden al met verscheidene ernstige fouten te maken gehad. Zo werd Bind 8 in 2007 end-of-life verklaard na een ernstig lek.
Bron: Techworld
