Kritik BIND hizmet reddi hatası, Internet'in büyük bölümlerini bozabilir

Tek bir paket göndererek DNS sunucularını çökertir Saldırganlar, çoğu kullanıcı için Internet'i bozmak için en popüler Alan Adı Sistemi (DNS) sunucu yazılımı olan BIND'deki yeni bir güvenlik açığından yararlanabilir.

Güvenlik açığı, tüm kullanıcıların BIND 9.1.0'dan BIND 9.10.2-P2'ye kadar olan BIND 9 ve yazılım tarafından desteklenen DNS sunucularını çökertmek için kullanılabilir.

Domain Name System, İnternet'in telefon rehberidir. Etki alanı ve ana bilgisayar adlarını, bilgisayarların birbirleriyle iletişim kurması gereken sayısal Internet Protokolü (IP) adreslerine dönüştürmek için kullanılır. DNS, küresel bir sunucu ağından oluşur ve çok sayıda BIND, Internet Systems Consortium (ISC) adı verilen bir sivil toplum kuruluşu tarafından geliştirilen ve sürdürülen bir yazılım paketi.

[Daha fazla okuma: Nasıl kaldırılır Windows PC'nizden kötü amaçlı yazılımlar]

ISC Salı tarafından açıklanan ve yamalanan güvenlik açığı, hem yetkili hem de özyinelemeli DNS sunucularını tek bir pakette çökertmek için kullanılabileceğinden kritik öneme sahiptir.

Yetkili DNS sunucuları, kayıtların tutulduğu sunuculardır. Bir veya birden fazla alan adı, hatta TLD'nin tamamı gibi .com. Yinelemeli DNS sunucuları, bilgisayarlardan sorgu alır ve bu bilgisayarların aradığı etki alanlarına yönelik yetkili sunuculara ulaşana kadar DNS hiyerarşisinde arama yaparak bunları çözer. Daha sonra bilgileri geri aktarırlar.

Çoğu bilgisayar ve yönlendirici, ISS'leri tarafından işletilen özyinelemeli DNS sunucularını kullanacak şekilde yapılandırılmıştır. Bu DNS sunucuları hizmet verdikleri bilgisayarlardan aşağı inerse, Internet'te artık web sitelerini bulamayacaklar.

BIND güvenlik açığına karşı korunmak için bir yapılandırma çözümü veya erişim denetim listelerinden yararlanılmasını engellemenin bir yolu yoktur. Tek seçenek, ISC'nin bir danışma belgesinde olduğunu söyledi.

“Bu aygıtların DNS'yi bir protokol düzeyinde anlamadığı ve o zaman bile sorun yaratamayacağı sürece, güvenlik duvarlarıyla sorunlu paketlerin taranması zor veya imkansızdır” dedi Michael McNally , bir ISC mühendisi ve bu güvenlik açığına karşı olay yöneticisi, bir blog gönderisinde.

Böceği, yamayu yüklemeden karşı savunmak zordur ve büyük ihtimalle saldırı kodunu tersine çevirmek zor olduğu için saldırı kodu görünecektir. McNally'e göre, kusurdan nasıl yararlanılacağını anlamaya çalışın.

“Bir uzman tarafından, daha önce açıklandığı gibi bir taktik kitini başarılı bir şekilde değiştirdiklerini ve kod değişikliklerini analiz ettiklerini söyledim. Bana bunu söyleyen kişinin kitini kötü niyetli bir şekilde kullanmak niyetinde olmadığına dair tam bir güvene sahip, bu konuda çok fazla kimsenin olamayacağı başkaları da var ”dedi.

Güvenlik CEO'su Robert Graham köknar m Errata Güvenlik, sorunun sadece bu kusuru değil, BIND 9'un tasarımı olduğuna inanıyor, çünkü bu, yazılımda ilk kez kritik bir hizmet reddi hatasıydı.

“En büyük sorunu, Graham'ın çok fazla özelliği var ”dedi. “İnsanlara tanınan her olası DNS özelliğini uygulamaya çalışıyor, bunlardan azı kamuya açık sunuculara ihtiyaç duyuyor. Günümüzün hatası, nadiren kullanılan 'TKEY' özelliğindeydi. Kamuya açık olan DNS sunucularının en az sayıda özelliğe sahip olması gerekir - sunucu, maksimum sayıda özelliğe sahip olmaktan dolayı otomatik olarak diskalifiye edilir. ”

Bu güvenlik açığının kapsamını vurgulamak için Graham, bir araç kullanabileceğini söyledi. internetteki bütün BIND 9 sunucularına bir saat içinde çarpmak için masscan denilen bir araç geliştirdi.

“BIND9 halka açık olmamalı” dedi. “Bu gün ve siber güvenlik çağında kabul edilemez olması gereken kod problemleri var. Mükemmel yazılsa bile, güvenilir olmak için çok fazla özelliğe sahip. ”