Chyba v aplikaci BIND: kterak snadno sestřelit internet

pátek 20. ledna 2012 12:54
Odříznout firmu či organizaci od internetu není vůbec těžké. Díky nedávno objevené chybě v aplikaci BIND je to dokonce jednodušší, než si možná vůbec dovedete představit…

Internetové překladače

Internet není nic jiného, než svět nul a jedniček. Jen o něco lidštěji vypadají IP adresy jednotlivých serverů, které představují shluk kvarteta až trojmístných čísel v rozpětí 0 až 255 (např. www.tns.cz je v „počítačovštině“ 194.228.50.75).
V reálném světě si ale asi přece jen snadněji zapamatujeme název domény, které je ovšem pro počítače španělskou vesnicí. Proto zde nastupují překladače doménových jmen na IP adresy, aby se lidé a servery mohli domluvit.
K nejrozšířenějším aplikacím, které překládají doménová jména na IP adresy v rámci podnikového prostředí (neb je zbytečně zdlouhavé utíkat s každým dotazem na jeden z rootových serverů internetu), patří software BIND.

Dobrý sluha, špatný pán

BIND funguje tak, že udržuje databázi IP adres – a pokud ji už zná, poskytne ji v případě opakovaného požadavku počítači v lokální síti. BIND tak pohyb po internetu velmi zrychluje. Na známé adresy se zkrátka není potřeba ptát, dotaz je vznášený pouze v případě neznámých. Ovšem každá líc má i svůj rub: tím je v daném případě skutečnost, že se BIND stává „úzkým hrdlem“ každého systému. Co se stane, když přestane fungovat? Odpověď je jednoduchá: interní síť nakonfigurovaná právě na dotazy na BIND se ocitá bez možnosti připojení k internetu. Jména se zkrátka přestanou překládat na IP adresy.

Vždyť shodit BIND je tak snadné

Že je to nepravděpodobné? Dost možná – ale vyloučené to není. Zvláště poté, co se objevila zranitelnost (dostala označení CVE-2011-4313), jejímž zneužitím může útočník snadno způsobit pád serveru BIND. Tím nastává výše popsaná situace, tedy stav DoS (Denial of Service, odepření služby). Ani restart BINDu příliš nepomáhá: provoz se sice obnoví, ale vzhledem k neodstranění příčiny problému může útočník stav DoS opět snadno vyvolat. Jedná se tak o začarovaný kruh, ze kterého není úniku.

 

Protože je chyba velmi snadno zneužitelná i útočníky bez hlubších znalostí (což ji činí o to více nebezpečnou), nebylo ke způsobu provedení zveřejněno mnoho podrobností. Z dostupných informací se dá usuzovat, že pád BINDu je vyvolaný tak, že útočník pošle elektronický podpis DNS záznamu (tzv. záznam RRSIG), ale nepošle už původní tímto RRSIGem podepsaný záznam. Dobrou zprávou je alespoň to, že chyba je již oficiálně opravena a že všichni dodavatelé BINDu (jde o open-source) už distribuují opravy.

Ještě jedna dobrá zpráva

Tím ovšem výčet dobrých zpráv nekončí: uživatelé systému Kernun se výše uvedenou chybou nemusí vůbec trápit. Už od roku 2008 (tedy plné tři roky před zveřejněním zranitelnosti CVE-2011-4313) totiž Kernun obsahuje komponentu, která kontroluje správnost záznamů RRSIG. Pokud se tedy útočník snaží o výše popsané napadení serveru BIND, je vyhodnoceno jako nekorektní komunikace a zablokováno. Kernun tak opět prokázal, že dokáže být o krok napřed nejen před konkurencí, ale především před samotnými útočníky.

 

 

Trusted Network Solutions
producent Kernun Firewall+, Kernun Clear Web, Kernun UTM


Společnost Trusted Network Solutions, a.s. patří mezi přední české IT společnosti s více než desetiletými zkušenostmi v oblasti bezpečnosti počítačových sítí. Její vlajkovou lodí jsou produkty Kernun, zaměřené zejména na specifické hrozby českého internetu. Kernun již používají významné české instituce a společnosti z oblasti veřejné správy, bankovnictví i průmyslu. Reference: naši klienti