Odhalená masívna zraniteľnosť v DNS

V krátkom čase, menej ako dva mesiace po zverejnení vážnej zraniteľnosti v knižnici OpenSSL distribúcie Debian s vážnym dopadom na bezpečnosť Internetu, bolo v utorok 8. júla oznámené odhalenie masívnej zraniteľnosti v systéme DNS. Chyba je viacerými bezpečnostnými expertami označovaná za chybu s najväčším potenciálnym globálnym dopadom na bezpečnosť celého Internetu.

DSL.sk, 10.7.2008

V utorok 8. júla bolo oznámené odhalenie vážnej bezpečnostnej chyby v DNS nachádzajúcej sa vo väčšine implementácií s potenciálnym globálnym dopadom na celý Internet.

Zraniteľnosť umožňuje uskutočniť efektívny útok typu DNS cache poisoning, teda podstrčiť nesprávne DNS odpovede rekurzívnym DNS serverom, ktoré ich typicky cachujú a ďalej posielajú klientom používajúcim daný DNS server.

Detaily chyby pre jej vážnosť neboli zverejnené, stane sa tak podľa súčasného plánu 6. augusta. Predpokladá sa, že v tomto čase sa ju už aj tak podarí z aktualizácií nezávisle zistiť napríklad aj tvorcom malwaru a iným útočníkom.

Zraniteľnosť objavil na začiatku tohto roka bezpečnostný expert Dan Kaminsky. V utorok v koordinovanej spolupráci prakticky každého producenta postihnutého DNS softvéru boli vydané aktualizácie všetkých postihnutých softvérov.

Aktualizácie DNS serverov vydali autori BIND-u, Microsoft, Cisco, Juniper a ďalší producenti. Chyba je podľa Kaminskeho zneužiteľná okrem DNS serverov aj v samotných DNS klientoch, Microsoft zároveň vydal aj novú verziu DNS resolvera pre Windows.

"Je to veľmi zlé, je to ale pod kontrolou," zhodnotil závažnosť chyby Kaminsky v rozhovore zverejnenom na stránkach spoločnosti IOActive, pre ktorú pracuje.

Zraniteľnosť sa podľa informácií zverejnených Kaminskym a jednotlivými producentami softvéru nachádza v nedostatočnej miere náhodnosti identifikátora DNS dotazu posielaného rekurzívnymi DNS serverami v kombinácii s ďalšími faktormi.

DNS server zisťujúci IP adresu pre DNS klienta prípadne samotný DNS klient identifikuje požiadavku zaslanú na iný DNS server 16-bitovým ID. Ak dostane odpoveď z rovnakej IP a s rovnakým ID, odpoveď považuje za platnú odpoveď. Ak útočník dokáže v správnom načasovaní uhádnuť ID a podstrčiť pre legitímnu DNS adresu nesprávnu odpoveď prekladajúcu túto DNS adresu na IP adresu svojich serverov, keďže DNS servery túto odpoveď cachujú a naďalej ju posielajú aj ostatným klientom, môže útočník efektívne a transparentne presmerovať užívateľov daného DNS servera idúcich napríklad na populárne stránky na svoje servery.

16 bitov, čiže 65 536 rozličných možností, predstavuje vzhľadom na potrebné načasovanie dostatočnú entropiu a náhodnosť. Podľa dostupných informácií Kaminsky ale zrejme odhalil nový efektívny spôsob výrazne redukujúci počet potrebných zaslaných paketov pre dosiahnutie vysokej pravdepodobnosti uhádnutia ID na takmer všetkých implementáciách DNS.

Všetky utorkové aktualizácie DNS serverov a klientov náhodnosť zvyšujú použitím náhodného zdrojového UDP portu pre každú odchádzajúcu DNS požiadavku, keď doteraz väčšina implementácií používala rovnaký port. Správna hodnota portu sa samozrejme kontroluje pre overenie pravosti odpovede a podľa Kaminskeho pridáva v závislosti na implementácii 11 až 14 bitov entropie vďaka 2 048 až 16 384 použitým rozličným portom.

Aktualizácie boli vyvinuté špecificky tak, aby prezradili čo najmenej informácií o identifikovanej chybe. To má umožniť získať dostatok času na aktualizáciu infraštruktúry celého Internetu, kým chybu identifikuje internetové podsvetie.

DNS cache poisoning umožňuje útočníkom primárne sa vydávať za prevádzkovateľa nezabezpečených cudzích stránok, respektíve sledovať a modifikovať dátovú prevádzku užívateľov na nezabezpečených stránkach. Návšteva stránok priamo zabezpečných SSL je bezpečná. Rizikom môžu byť ale stránky, ktoré hoci odosielajú prihlasovacie údaje cez SSL, majú prihlasovacie formuláre na nezabezpečených stránkach. Útočník môže v takomto prípade modifikovať nezabezpečenú stránku s prihlasovacími údajmi a formulár zmeniť na zasielanie prihlasovacích údajov nezabezpečeným spôsobom.

"Nie je žiadny dôvod na paniku, neexistuje žiadny dôkaz o prebiehajúcom zneužívaní tejto chyby," uvádza Kaminsky vo svojom oznámení chyby. Kaminsky objavil zraniteľnosť náhodne pri preverovaní inej vlastnosti DNS.

Na doxpara.com Kaminsky sprístupnil jednoduchý nástroj DNS checker v podobe priamo webovej stránky, ktorý otestuje či DNS server používaný návštevníkom stránky používa pre svoje dotazy vždy rovnaký UDP port a je tak zraniteľný. V prípade, že DNS server napríklad poskytovateľa pripojenia nebude dostatočne skoro opravený, odporúča koncovým užívateľom začať používať napríklad službu OpenDNS.com. Rekurzívne DNS servery tejto služby neboli chybou postihnuté, zrejme keďže pre potrebné škálovanie používajú rozličné zdrojové UDP porty.

Poskytovateľom pripojenia, firmám a ďalším organizáciám je odporúčané okamžite aktualizovať všetky DNS servery aktualizáciami vydanými v utorok ich výrobcami. U DNS klientov, ktoré môžu dostávať DNS pakety z Internetu, Kaminsky rovnako odporúča čo najskoršiu aktualizáciu. Pre Windows zraniteľnosť opravuje aktualizácia MS08-037.

Viac zatiaľ dostupných informácií je možné získať z oznámenia Kaminskeho a jeho rozhovoru najmä o závažnosti zraniteľnosti stiahnuteľných tu. Informáciu Cisca k chybe a aktualizácii je možné nájsť tu, informácie tvorcov BIND-u tu.





Najnovšie články:



Diskusia:

Esteze... Od: Forest Gump | Pridané: 10.7.2008 2:02 ...mam na serveri zakazane vsetky porty dnu a povolene dotazy len od providerovho DNS... uz len aby si aj provider aktualizoval svoje DNS. Odpovedať Známka: -5.0 Hodnotiť:

Re: Esteze... Od reg.: Matej- | Pridané: 10.7.2008 9:34 a to si myslis, ze ti pomoze? :) [mimochodom, asi si myslel odpovede, nie dotazy] ak mas stale rovnaky odchodzi udp port, a niekto ho zisti (53 ftw), staci potom uz len spoofnut IPcku providerovho dns aktualizuj! Odpovedať Hodnotiť:

Re: Esteze... Od reg.: Propediotika | Pridané: 10.7.2008 17:08 Je mozne zmenit DNS server, pokial to ISP nepovoluje? Da sa to nejak obist? Odpovedať Hodnotiť:

Re: Esteze... Od: Accuphose+ | Pridané: 10.7.2008 20:09 Změnit ne, ale můžeš použít právě OpenDNS. I když je otázka, kolik dotazů dokáže odbavit dlouhodobě. Odpovedať Hodnotiť:

Re: Esteze... Od: ... | Pridané: 10.7.2008 21:04 Ty pises o zmene... Odpovedať Hodnotiť:

Re: Esteze... Od reg.: wavevlna | Pridané: 11.7.2008 0:11 ja pouzivam openDNS, v routri som si to nastavil. ani neviem preco :P Odpovedať Hodnotiť:

Re: Esteze... Od: ... | Pridané: 10.7.2008 21:04 Cez SSH tunel to spolu s netcatom ide vytunelovat. Odpovedať Hodnotiť:

16 bitov Od reg.: veldo | Pridané: 10.7.2008 2:15 nie je 16 bitov len 65536 kombinaci(2^16)? Odpovedať Hodnotiť:

Re: 16 bitov Od reg.: Redakcia DSL.sk | Pridané: 10.7.2008 2:25 Samozrejme áno. Ďakujeme za upozornenie na preklep. Odpovedať Známka: 3.3 Hodnotiť:

Re: 16 bitov Od reg.: Klix. | Pridané: 10.7.2008 10:11 Mate dost dobry cas reakcie/odpovede ak je to v CEST. :-) *THUMBS UP* Odpovedať Hodnotiť:

OpenDNS Od reg.: TheTOM.SK | Pridané: 10.7.2008 7:58 OpenDNS s oplati nielen kvoli bezpecnosti, kedze je mozno blokovat napr porno a phishing stranky, IP adresy a IP range aj na zaklade logu cez free ucet, ale aj na monitorovanie siete a taktiez je spolahlivejsie ako ine DNS servery. Odpovedať Hodnotiť:

DNS attack Od: Websterik | Pridané: 10.7.2008 8:38 Je tam nejake potencionálne nebezpecenstvo pre home alebo firemnych uzivatelov. Nemam teraz namysli presmerovavanie stranok ale priamy utok. Odpovedať Hodnotiť:

Re: DNS attack Od reg.: Matej- | Pridané: 10.7.2008 9:36 potencialne presmerovanie akehokolvek dns zaznamu (web, maily, jabber, ...), nie "len" web stranok - to ti ako utok nestaci? Odpovedať Hodnotiť:

To je toto? Od: Meno123 | Pridané: 10.7.2008 9:42 http://milw0rm.com/exploits/4266 Odpovedať Hodnotiť:

Re: To je toto? Od reg.: Redakcia DSL.sk | Pridané: 10.7.2008 9:55 Z komentárov a samozrejme dátumu toho exploitu zrejme nie, ten je účinný proti chybe predpovedateľnosti ID špecifickejšieho druhu. Podľa zatiaľ dostupných respektíve naznačených informácií nová zraniteľnosť je aj o niečom inom ako iba predpovedateľnosti ID. Odpovedať Hodnotiť:

Re: To je toto? Od reg.: Matej- | Pridané: 10.7.2008 11:15 Nie, ten sa tyka chyby v BIND (dns server, primarne pre *nix) z minuleho roka. Konkretne slaby algoritmus generovania ID transakcie (16-bitove cislo, ktore treba pre uspesne spoofnutie "uhadnut" [alebo skusit vsetky mozne]). Ten aktualny problem je v niecom inom, a nikto nechce prezradit v com. Asi idem precitat vsetky dns-related RFCcka :P Odpovedať Hodnotiť:

Re: To je toto? Od: Accuphose+ | Pridané: 10.7.2008 20:11 Pak mi dej vědět, udělám článek ;-) Odpovedať Hodnotiť:

Manualne DNS Od: ...... | Pridané: 10.7.2008 9:46 Co uz s nimi, tak budeme minimalne na Internet Bankingu pouzivat manualne DNS - zdvihneme telefon, zavolame danej institucii, poprosime o IP adresu a tu potom zapiseme to /etc/hosts alebo v pripade Windowsu, MasOXu a este inych rieseni niekam inam. Odpovedať Známka: 10.0 Hodnotiť:

Re: Manualne DNS Od reg.: Marki555 | Pridané: 10.7.2008 10:05 Hehe len pre su srandu skus zavolat na infolinku SLSP alebo TB alebo inej banky ze po kolkych hodinach a kolkych telefonatoch by si sa dostal k IPcke serveru kde maju internet banking. (Nie kvoli tomu ze by to bolo tajne, ale kvoli tomu, ze nemas sancu hovorit s niekym kto bude rozumiet co od neho chces :) Odpovedať Hodnotiť:

Re: Manualne DNS Od reg.: gabriel kiss | Pridané: 10.7.2008 10:45 toto moze byt celkom zaujimava hra :D Odpovedať Hodnotiť:

Re: Manualne DNS Od reg.: Kveri | Pridané: 11.7.2008 10:05 daleko by si sa nedostal :) kedze sa tam pravdepodobne ani nedostanes cez ipcku kedze maju virtual hosty Odpovedať Hodnotiť:

Re: Manualne DNS Od reg.: Kveri | Pridané: 11.7.2008 10:06 po druhom precitani som uvazil, ze moj prispevok nebol celkom vhodny :D sry Odpovedať Hodnotiť:

Re: Manualne DNS Od: tribal | Pridané: 11.7.2008 11:20 Tak to si pekne na omyle. Vhosty s tym nemaju nic spolocne. Pre jednu IP dokazes mas len jeden SSL certifikat, inak ti ukaze pri prihlasovani problem so SSL a to si banky dovolit nemozu. Takze stacilo by zadat https://server.ip.address a malo by to slapat v pohode!!! Odpovedať Hodnotiť:

Re: Manualne DNS Od reg.: kolot | Pridané: 10.7.2008 16:00 heh a co ak bude mat banka aj telefonne cislo spoofovane ;))) tym padom sa dovolas utocnikovi a ten ti samozrejme povie tu podstrcenu IPcku ;)))))) Odpovedať Hodnotiť:

Re: Manualne DNS Od: Paranoik | Pridané: 10.7.2008 17:42 Tak si zajdem do Bratislavy a tam sa generalneho riaditela (po identifikacii minimalne 3 dokladami totoznosti a potrvdeni identity od CIA, FBI, SIS, Mossad a Chucka Norrisa) opytam, aku maju IP - ten by mi snad neklamal. Potom pojdem domov, natukam IP do hosts a budem dufat, ze medzi bankou a mnou nebude ziadny "Man in the middle", ktory banke uz ukradol jej privatny kluc a chcel by ma odpocuvat. Odpovedať Známka: 6.0 Hodnotiť:

Aktualizace Od: Accuphose+ | Pridané: 10.7.2008 20:19 DNS není moje parketa, ale docela by mě zajímalo, zda se zranitelnost týká i DNS pro IPv6. Respektive jsem před nějakým časem koukal na videa ohledně IPv6 Sec a tam byly i nějaké vylepšení právě ohledně DNS serverů a překladů adres obecně. Moc si toho už ale napamatuju :-( Odpovedať Hodnotiť:

Re: Aktualizace Od reg.: TheTOM.SK | Pridané: 10.7.2008 20:28 Tato chyba sa netyka ani dobre nastavenych DNS serverov. Taky OpenDNS alebo PowerDNS danu chybu nemali ani pred zverejnenim, cize zalezi od administratora. ;) Odpovedať Hodnotiť:

Re: Aktualizace Od: Accuphose+ | Pridané: 10.7.2008 22:05 Já tu mluvím o systémových změnách, ne o změnách od adminů. Ztratil si na mě online kontakt, že píšeš sem? :-D Odpovedať Hodnotiť:

testik Od: bagio | Pridané: 11.7.2008 9:27 Your name server, at 217.118.96.203, appears to be safe. :) Odpovedať Hodnotiť:

Pridať komentár