WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Lỗ hổng nghiêm trọng trong BIND có thể làm tê liệt phần lớn mạng Internet
Tin tặc có thể khai thác một lỗ hổng mới được phát hiện trong BIND - phần mềm máy chủ DNS - làm gián đoạn hệ thống mạng Internet.
Lỗ hổng, ảnh hưởng đến nhiều phiên bản của BIND 9, từ BIND 9.1.0 đến BIND 9.10.2-P2, có thể bị khai thác nhằm đánh sập các máy chủ DNS chạy phần mềm BIND sau khi tấn công từ chối dịch vụ.
Lỗi được công ty Internet Systems Consortium (ISC) công bố và vá cuối tuần trước. Tuy nhiên, lỗ hổng này vẫn ở mức nghiêm trọng bởi nó có thể khởi phát những cuộc tấn công vào các máy chủ DNS cả thẩm quyền và đệ quy chỉ bằng một gói dữ liệu duy nhất.
Gói truy vấn DNS có thể dẫn tới lỗi xác nhận TRUY VẤN, khiến BIND bị thoát. Gói tin này được tạo ra rất dễ dàng.
Lỗ hổng này cũng đã bị khai thác trên diện rộng. ISC cho hay hãng nhận được thông tin về việc mã proof-of-concept để khai thác đã được phát tán trên mạng Internet. Đồng thời, hãng cũng cảnh báo các bên bị ảnh hưởng áp dụng bản vá hoặc cập nhật lên phiên bản an toàn càng sớm càng tốt.
ISC cũng cho hay không còn cách nào khác ngoài việc cập nhật bản vá.
“Nguy cơ thực tế của lỗ hổng này nằm ở chỗ rất khó để khắc phục mà không cần cập nhật bản vá, trong khi lại không hề khó để biên dịch ngược”, theo ISC.
ISC cho biết việc sàng lọc các gói tin vi phạm đối với tường lửa dường như là rất khó khăn hoặc là không thể, trừ khi những thiết bị đó hiểu DNS ở mức giao thức và ngay cả khi đó thì vẫn có thể gây rắc rối sau này.
Robert Graham từ hãng Errata Security cảnh báo một lượng lớn mạng Internet có thể bị tấn công. Graham cho hay vấn đề không chỉ là lỗ hổng này, mà còn ở cấu hình. BIND 9 có rất nhiều vấn đề mà đáng lẽ một phần mềm nền tảng quan trọng không nên có.
Theo Graham, vấn đề lớn nhất là BIND có quá nhiều tính năng. BIND triển khai mọi tính năng có thể của một DNS, và rất ít trong số này là thực sự cần thiết đối với một server public. Lỗ hổng này nằm trong tính năng hiếm khi được sử dụng 'TKEY'. Những máy chủ DNS công khai trên Internet cần phải giảm thiểu số lượng tính năng.
Lỗ hổng, ảnh hưởng đến nhiều phiên bản của BIND 9, từ BIND 9.1.0 đến BIND 9.10.2-P2, có thể bị khai thác nhằm đánh sập các máy chủ DNS chạy phần mềm BIND sau khi tấn công từ chối dịch vụ.
Lỗi được công ty Internet Systems Consortium (ISC) công bố và vá cuối tuần trước. Tuy nhiên, lỗ hổng này vẫn ở mức nghiêm trọng bởi nó có thể khởi phát những cuộc tấn công vào các máy chủ DNS cả thẩm quyền và đệ quy chỉ bằng một gói dữ liệu duy nhất.
Gói truy vấn DNS có thể dẫn tới lỗi xác nhận TRUY VẤN, khiến BIND bị thoát. Gói tin này được tạo ra rất dễ dàng.
Lỗ hổng này cũng đã bị khai thác trên diện rộng. ISC cho hay hãng nhận được thông tin về việc mã proof-of-concept để khai thác đã được phát tán trên mạng Internet. Đồng thời, hãng cũng cảnh báo các bên bị ảnh hưởng áp dụng bản vá hoặc cập nhật lên phiên bản an toàn càng sớm càng tốt.
ISC cũng cho hay không còn cách nào khác ngoài việc cập nhật bản vá.
“Nguy cơ thực tế của lỗ hổng này nằm ở chỗ rất khó để khắc phục mà không cần cập nhật bản vá, trong khi lại không hề khó để biên dịch ngược”, theo ISC.
ISC cho biết việc sàng lọc các gói tin vi phạm đối với tường lửa dường như là rất khó khăn hoặc là không thể, trừ khi những thiết bị đó hiểu DNS ở mức giao thức và ngay cả khi đó thì vẫn có thể gây rắc rối sau này.
Robert Graham từ hãng Errata Security cảnh báo một lượng lớn mạng Internet có thể bị tấn công. Graham cho hay vấn đề không chỉ là lỗ hổng này, mà còn ở cấu hình. BIND 9 có rất nhiều vấn đề mà đáng lẽ một phần mềm nền tảng quan trọng không nên có.
Theo Graham, vấn đề lớn nhất là BIND có quá nhiều tính năng. BIND triển khai mọi tính năng có thể của một DNS, và rất ít trong số này là thực sự cần thiết đối với một server public. Lỗ hổng này nằm trong tính năng hiếm khi được sử dụng 'TKEY'. Những máy chủ DNS công khai trên Internet cần phải giảm thiểu số lượng tính năng.
Nguồn: itnews
Chỉnh sửa lần cuối bởi người điều hành: