Cacat membuat server rentan terhadap serangan denial-of-service

Cacat dalam perangkat lunak BIND DNS (Domain Name System) yang banyak digunakan dapat dimanfaatkan oleh penyerang jarak jauh untuk merusak server DNS dan mempengaruhi operasi program lain yang berjalan pada mesin yang sama.

Cacat berawal dari cara ekspresi reguler diproses oleh pustaka libdns yang merupakan bagian dari distribusi perangkat lunak BIND. BIND versi 9.7.x, 9.8.0 hingga 9.8.5b1 dan 9.9.0 hingga 9.9.3b1 untuk sistem UNIX-like rentan, menurut penasehat keamanan yang diterbitkan Selasa oleh Internet Systems Consortium (ISC), sebuah perusahaan nirlaba yang mengembangkan dan memelihara perangkat lunak. Versi Windows dari BIND tidak terpengaruh.

BIND adalah perangkat lunak server DNS yang paling banyak digunakan di Internet. Ini adalah perangkat lunak DNS standar de facto untuk banyak sistem seperti UNIX, termasuk Linux, Solaris, berbagai varian BSD dan Mac OS X.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Serangan dapat crash server

Kerentanan dapat dieksploitasi dengan mengirimkan permintaan yang dibuat secara khusus ke instalasi yang rentan dari BIND yang akan menyebabkan proses server DNS - nama daemon, yang dikenal sebagai "named" - untuk mengkonsumsi sumber daya memori yang berlebihan. Hal ini dapat mengakibatkan proses server DNS crash dan pengoperasian program lain menjadi sangat terpengaruh.

"Eksploitasi yang disengaja terhadap kondisi ini dapat menyebabkan penolakan layanan di semua server nama otoritatif dan rekursif menjalankan versi yang terpengaruh," kata ISC. Organisasi menilai kerentanan itu penting. (Lihat juga "4 cara untuk mempersiapkan dan menangkis serangan DDoS.")

Satu solusi yang disarankan oleh ISC adalah untuk mengkompilasi BIND tanpa dukungan untuk ekspresi reguler, yang melibatkan pengeditan secara manual file "config.h" menggunakan instruksi yang disediakan dalam penasehat. Dampak dari melakukan hal ini dijelaskan dalam artikel ISC terpisah yang juga menjawab pertanyaan umum lainnya tentang kerentanan.

Organisasi ini juga merilis versi BIND 9.8.4-P2 dan 9.9.2-P2, yang memiliki dukungan ekspresi reguler yang dinonaktifkan. secara default. BIND 9.7.x tidak lagi didukung dan tidak akan menerima pembaruan.

"BIND 10 tidak terpengaruh oleh kerentanan ini," kata ISC. "Namun, pada saat penasehat ini, BIND 10 bukan 'fitur lengkap,' dan tergantung pada kebutuhan penyebaran Anda, mungkin bukan pengganti yang cocok untuk BIND 9."

Menurut ISC, tidak ada yang diketahui aktif mengeksploitasi saat ini. Namun, itu mungkin segera berubah.

"Butuh waktu sekitar sepuluh menit untuk bekerja dari membaca penasehat ISC untuk pertama kalinya mengembangkan eksploitasi yang berfungsi," kata seorang pengguna bernama Daniel Franke dalam pesan yang dikirim ke Full Mailing list keamanan pengungkapan pada hari Rabu. "Saya bahkan tidak perlu menulis kode apa pun untuk melakukannya, kecuali Anda menghitung ekspresi reguler [regexes] atau file zona BIND sebagai kode. Mungkin tidak akan lama sebelum orang lain mengambil langkah yang sama dan bug ini mulai dieksploitasi di liar. "

Franke mencatat bahwa bug mempengaruhi server BIND yang" menerima transfer zona dari sumber yang tidak dipercaya. " Namun, itu hanya satu skenario eksploitasi yang mungkin, kata Jeff Wright, manajer jaminan kualitas di ISC, Kamis dalam membalas pesan Franke.

"ISC ingin menunjukkan bahwa vektor yang diidentifikasi oleh Mr. Franke tidak satu-satunya yang mungkin, dan bahwa operator dari * APAPUN * rekursif * ATAU * nameserver otoritatif menjalankan instalasi unpatched dari versi BIND yang terpengaruh harus menganggap diri mereka rentan terhadap masalah keamanan ini, "kata Wright. "Kami ingin, bagaimanapun, untuk menyatakan kesepakatan dengan poin utama dari komentar Tuan Franke, yaitu bahwa kompleksitas yang diperlukan dari eksploitasi untuk kerentanan ini tidak tinggi, dan tindakan segera dianjurkan untuk memastikan server nama Anda tidak berisiko."

Bug ini bisa menjadi ancaman serius mengingat meluasnya penggunaan BIND 9, menurut Dan Holden, direktur teknik keamanan dan tim tanggap di jaringan peringanan DDoS, Arbor Networks. Penyerang mungkin mulai menargetkan kekurangan karena perhatian media seputar DNS dalam beberapa hari terakhir dan kompleksitas serangan yang rendah, katanya Jumat melalui email.

Peretas menargetkan server yang rentan

Beberapa perusahaan keamanan mengatakan awal pekan ini bahwa serangan penolakan-of-service (DDoS) terdistribusi baru-baru ini yang menargetkan organisasi anti-spam adalah yang terbesar dalam sejarah dan mempengaruhi infrastruktur Internet yang kritis. Para penyerang menggunakan server DNS yang tidak dikonfigurasi dengan baik untuk memperkuat serangan.

"Ada garis tipis antara penargetan server DNS dan menggunakannya untuk melakukan serangan seperti amplifikasi DNS," kata Holden. "Banyak operator jaringan merasa bahwa infrastruktur DNS mereka rapuh dan seringkali mereka melakukan tindakan tambahan untuk melindungi infrastruktur ini, beberapa di antaranya memperburuk beberapa masalah. Salah satu contohnya adalah menggunakan perangkat IPS inline di depan infrastruktur DNS. Merancang filter yang sesuai untuk mengurangi serangan ini dengan inspeksi tanpa kewarganegaraan hampir tidak mungkin. "

" Jika operator mengandalkan deteksi dan mitigasi inline, sangat sedikit organisasi penelitian keamanan yang proaktif tentang pengembangan kode bukti-konsep mereka sendiri yang menjadi dasar mitigasi, "Kata Holden. "Dengan demikian, jenis perangkat ini sangat jarang mendapat perlindungan sampai kita melihat kode kerja semi-publik. Ini memberikan jendela peluang kepada penyerang yang dapat mereka tangkap dengan sangat baik."

Juga, secara historis, operator DNS lambat dalam menambal dan ini pasti bisa ikut bermain jika kita melihat gerakan dengan kerentanan ini, Holden berkata.