خوادم أوراق المخالفة عرضة لهجمات رفض الخدمة

يمكن استغلال الثغرة في برنامج BIND DNS (نظام أسماء النطاقات) المستخدم على نطاق واسع من قبل المهاجمين عن بعد لخوادم DNS المتعثرة والتأثير على العملية من البرامج الأخرى التي تعمل على نفس الأجهزة.

ينبع الخلل من الطريقة التي تتم بها معالجة التعبيرات العادية بواسطة مكتبة libdns التي تعد جزءًا من توزيع برنامج BIND. إصدارات BIND 9.7.x و 9.8.0 إلى 9.8.5b1 و 9.9.0 إلى 9.9.3b1 للأنظمة الشبيهة بـ UNIX ضعيفة ، وفقًا لاستطلاع أمني نشره اتحاد أنظمة الإنترنت (ISC) ، وهي شركة غير ربحية الذي يطور ويحافظ على البرنامج. لا تتأثر إصدارات Windows من BIND.

BIND هو برنامج ملقم DNS الأكثر استخدامًا على الإنترنت. إنه برنامج DNS الفعلي في الواقع للعديد من أنظمة UNIX الشبيهة ، بما في ذلك Linux و Solaris ومتغيرات BSD المختلفة و Mac OS X

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

Attack can crash خوادم

يمكن استغلال الثغرة الأمنية عن طريق إرسال طلبات مصاغة خصيصًا إلى عمليات التثبيت الضعيفة في BIND والتي قد تتسبب في عملية خادم DNS - اسم البرنامج ، المعروف باسم "named" - لاستهلاك موارد الذاكرة الزائدة. هذا يمكن أن يؤدي إلى تعطل عملية خادم نظام أسماء النطاقات وتشغيل برامج أخرى تتأثر بشدة.

"الاستغلال المتعمد لهذا الشرط يمكن أن يؤدي إلى الحرمان من الخدمة في جميع خوادم الأسماء الموثوقة والعودية التي تقوم بتشغيل الإصدارات المتأثرة" ، قال مركز الدراسات الدولي. تقوم المنظمة بتصنيف الثغرة على أنها حرجة. (راجع أيضًا "4 طرق للتحضير لدرء هجمات DDoS وصدها.")

أحد الحلول المقترحة من قِبل ISC هو تجميع BIND بدون دعم للتعبيرات العادية ، والتي تتضمن تحرير ملف "config.h" يدويًا باستخدام الإرشادات المقدمة في الاستشاري. يتم شرح تأثير القيام بذلك في مقالة منفصلة خاصة بمركز الدراسة الدولي والتي تجيب أيضًا على أسئلة أخرى متكررة حول الثغرة الأمنية.

أصدرت المنظمة أيضًا إصدارات BIND 9.8.4-P2 و 9.9.2-P2 ، والتي لديها دعم تعبير عادي. بشكل افتراضي. لم يعد معتمد 9.7.x BIND ولن تتلقى تحديثًا.

"لا يتأثر BIND 10 بهذه الثغرة الأمنية" ، حسبما ذكر مركز الدراسات الدولي. "ومع ذلك ، في وقت هذا الاستشاري ، لم يكن BIND 10" مكتمل "، وبناءً على احتياجات النشر الخاصة بك ، قد لا يكون البديل المناسب لـ BIND 9."

وفقًا لمركز الدراسات الدولي ، لا يوجد نشاط نشط معروف يستغل في الوقت الحالي. ومع ذلك ، قد يتغير ذلك قريباً.

"استغرق الأمر مني عشر دقائق تقريبًا من العمل للذهاب من قراءة استشارة مركز الدراسات الدولي للمرة الأولى لتطوير استغلال عمل" ، قال مستخدم يدعى دانييل فرانكي في رسالة تم إرسالها إلى كامل الكشف عن قائمة بريدية أمنية يوم الأربعاء. "لم يكن لدي حتى كتابة أي رمز للقيام بذلك ، إلا إذا قمت بحساب regexes [تعابير عادية] أو ملفات المنطقة BIND. قد لا يستغرق الأمر وقتًا طويلاً قبل أن يأخذ شخص آخر نفس الخطوات ويبدأ هذا الخطأ في الاستغلال ".

" لاحظت Franke أن الخطأ يؤثر على ملقمات BIND "قبول عمليات نقل المنطقة من مصادر غير موثوق بها." ومع ذلك ، هذا هو مجرد سيناريو استغلال محتمل واحد ، قال جيف رايت ، مدير ضمان الجودة في مركز الدراسات الدولي ، يوم الخميس في رد على رسالة فرانكي.

يود مركز الدراسة الدولي أن يشير إلى أن النواقل التي حددها السيد فرانكي ليست وقال رايت: "إن ذلك ممكن فقط ، وأن مشغلي خوادم الأسماء * المتكرّرة * أو * الموثوقة الذين يديرون تركيبًا غير مرغوب فيه لنسخة متأثرة من BIND يجب أن يعتبروا أنفسهم عرضة لهذه المشكلة الأمنية". "ومع ذلك ، نود أن نعبر عن الاتفاق مع النقطة الرئيسية لتعليق السيد فرانكي ، وهو أن التعقيد المطلوب للاستغلال من أجل هذا الضعف ليس مرتفعًا ، ويوصى باتخاذ إجراء فوري لضمان عدم تعرض خوادم الأسماء للخطر".

قد يكون هذا الخطأ تهديدًا خطيرًا بالنظر إلى الاستخدام الواسع النطاق لـ BIND 9 ، وفقًا لما ذكره دان هولدن ، مدير فريق هندسة الأمن والاستجابة في شركة Arbor Networks للتخفيف من مخاطر DDoS. وقد يبدأ المهاجمون في استهداف العيوب نظرًا لاهتمام وسائل الإعلام المحيطة بـ DNS في الأيام الأخيرة وانخفاض تعقيد مثل هذا الهجوم ، كما قال الجمعة عبر البريد الإلكتروني.

الهاكرز يستهدفون الخوادم الضعيفة

قالت عدة شركات أمنية في وقت سابق من هذا الأسبوع كان هجوم حجب الخدمة الموزع حديثًا (DDoS) الذي يستهدف تنظيمًا مضادًا للبريد العشوائي هو الأكبر في التاريخ وأثر على البنية التحتية الحيوية للإنترنت. استفاد المهاجمون من خوادم DNS سيئة التكوين لتضخيم الهجوم.

"هناك خط رفيع بين استهداف خوادم DNS واستخدامها لتنفيذ هجمات مثل تضخيم DNS". "يشعر العديد من مشغلي الشبكات بأن البنية الأساسية لنظام DNS الخاصة بهم هشة وغالباً ما يمرون بتدابير إضافية لحماية هذه البنية التحتية ، بعضها يؤدي إلى تفاقم بعض هذه المشاكل. أحد الأمثلة على ذلك هو نشر أجهزة IPS المضمنة أمام بنية DNS التحتية. إن عملية التخفيف من هذه الهجمات بتفتيش عديم الحالة تكون شبه مستحيلة. "

" إذا كان المشغلون يعتمدون على الكشف المضمّن والتخفيف ، فإن عددًا قليلاً جدًا من المؤسسات البحثية الأمنية تعمل بشكل استباقي على تطوير مدونة إثبات المفهوم الخاصة بها والتي تستند عليها عملية التخفيف ، "هولدن قال. "وبالتالي ، نادرًا ما تحصل هذه الأنواع من الأجهزة على الحماية حتى نرى قانون العمل شبه العام. وهذا يمنح المهاجمين نافذة فرصة قد يحتلونها جيدًا."

أيضًا ، كان مشغلو نظام أسماء النطاقات تاريخياً بطيئين في التصحيح قد يكون هذا بالتأكيد يلعب دورًا إذا رأينا حركة مع هذه الثغرة ، قال هولدن.