Nová bezpečnostní díra v DNS je možná ještě horší než ta Kaminského

Nezisková organizace Internet Systems Consortium (ISC), pečující o klíčové open source internetové systémy a protokoly, koncem července uveřejnila, že uživatelé serveru BIND (Berkeley Internet Name Domain) by mohli být vystaveni útokům typu odepření služby (DoS).


ISC zveřejnila naléhavé varování před zprávou dynamické aktualizace, která by mohla způsobit vypnutí serverů BIND, jež jsou nadřízeny jedné nebo více zónám. ISC radí uživatelům aktualizovat na jednu z následujících verzí: 9.4.3-P3, 9.5.1-P3, 9.6.1-P1.
„Jde o opravdu rozsáhlý problém," prohlašuje Richard Hyatt, technologický ředitel kanadské společnosti Bluecat Networks, která vytváří produkty pro správu IP adres. „Je to podle mne mnohem horší než chyba odhalená Kaminským."
Hyatt má na mysli zranitelnost webů chráněných protokolem SSL, která byla poprvé zveřejněna minulý rok na konferenci Black Hat o zabezpečení Danem Kaminským, ředitelem testování infiltrace ve společnosti IOActive. „U chyby popsané Kaminským dojde k tzv. otrávení vyrovnávací paměti," popisuje Hyatt, „ale tato chyba umožňuje útočníkům rovnou vás odpojit."
James Quin, výzkumný analytik z kanadské společnosti Info-Tech Research Group, souhlasí. „Máme co do činění s vypínáním serverů doménových jmen," hodnotí problém Quin. „Směrování přenosů IP by se zcela zastavilo do doby, než by byl systém znovu on-line."
Ve svém varování společnost ISC uvedla, že uživatelé, kteří obdrží „zprávu dynamické aktualizace" pro servery BIND, mohou zaznamenat jejich vypnutí, pokud používají verzi 9.
„Je to případ řádku špatného kódu," vysvětluje situaci Hyatt a dodává, že společnost Bluecat vydala aktualizaci pro svůj hardware Adonis pro správu IP adres.
Podle Quina lze naštěstí potíž snadno vyřešit. „Problémem budou postiženy pravděpodobně jen společnosti, které nepoužívají nejnovější verze zabezpečovacích protokolů," uvádí Quin. „Mohou však situaci napravit velmi rychle."
Podle něho jsou útoky na telekomunikační operátory mnohem vážnější než útoky vůči jednotlivým korporacím. „Dopady, které může někdo způsobit na úrovni jednotlivých podniků, jsou velmi malé," vysvětluje. „Vůči operátorům bude zřejmě provedeno více útoků než proti jednotlivým společnostem." Podle Quina by uživatelé neměli předpokládat, že všichni operátoři mají své systémy řádně ochráněné.
Hyatt zase tvrdí, že zranitelné společnosti by mohly zaznamenat i jiné problémy než ztrátu svého webu. „Hrozba může zmutovat do červa nebo viru, který při spuštění z interních částí sítě může zaútočit na interní servery BIND," varuje Hyatt. „To by mohlo ohrozit části společnosti zevnitř."
Bližší informace o chybě včetně seznamu potenciálně nezabezpečených systémů a možných způsobů ochrany můžete najít na adrese www.kb.cert.org/vuls/id/725188, respektive www.isc.org/node/474 .











Komentáře