Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Kaksi haavoittuvuutta ISC BIND 9 -nimipalvelimessa

Haavoittuvuus15/2020

ISC BIND 9 -nimipalvelinohjelmistosta on löydetty kaksi haavoittuvuutta, joilla hyökkääjä voi verkon yli aiheuttaa palvelunestotilan tai käyttää rekursiivistä nimipalvelinta ns. amplifikaatiohyökkäykseen suurella kertoimella.

Tutkijat ovat löytäneet kaksi haavoittuvuutta (CVE-2020-8616 ja CVE-2020-8617), joita hyökkääjän on mahdollista käyttää verkon yli.

Haavoittuvuus CVE-2020-8616 mahdollistaa ns. amplifikaatiohyökkäyksen suurella kertoimella (1600x - 20000x) hyökkääjän luomilla nimipalvelupyynnöillä haavoittuvalle, rekursiiviselle ISC BIND 9 -nimipalvelimelle. Tätä haavoittuvuutta voidaan käyttää hyökkäysmekanismina toisiin kohteisiin tai kuluttamaan nimipalvelimen resurssit ja täten aiheuttaa palvelunestotila DNS-palveluille.

Tämän haavoittuvuuden hyväksikäyttö perustuu hyökkääjän hallussa olevan valtuutetun nimipalvelimen (authoritative server) lähettämiin vastauksiin, joissa NS-tietueissa annetaan pelkät DNS-nimet eikä niiden IP-osoitteita sisältäviä ns. liimatietueita (glue record). Tällöin uhripalvelin joutuu kyselemään jokaisen NS-tietueen nimen vielä erikseen - edelleen hyökkääjän palvelimelta. Näiden nimipalvelinten nimien osalta voidaan yhä antaa lisää liimattomia NS-tietueita ja täten aiheuttaa lisäkuormaa.  

Haavoittuvuus CVE-2020-8617 johtuu BIND-nimipalvelimen ohjelmistovirheestä TSIG-tietueiden käsittelyssä. Hyökkääjä voi lähettää verkon yli erityisesti muotoiltuja nimipalveluviestejä, jotka ohjelmistovirheen takia voivat aiheuttaa BIND-nimipalvelimen pysähtymisen tai joutumisen tuntemattomaan tilaan. Tämä ohjelmistovirhe on ISC:n tietojen mukaan lähes kaikkialla oletusasennuksessa mukana. Tämän haavoittuvuuden hyväksikäyttö edellyttää, että hyökkääjä arvaa palvelimen käyttämän TSIG-avaimen nimen.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Palvelunestohyökkäys

Hyväksikäyttömenetelmä tiedossa

  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

Tuetut ISC BIND 9 versiot:

  • 9.16.0 - 9.16.2
  • 9.14.0 - 9.14.11
  • 9.11.0 - 9.11.18
  • 9.9.3-S1 - 9.11.18-S1 (Supported preview edition)

Tuen ulkopuolella olevat haavoittuvat versiot:

  • 9.10.x
  • 9.12.x
  • 9.13.x
  • 9.15.x
  • 9.17.x

Ratkaisu- ja rajoitusmahdollisuudet

Päivitys korjattuihin ISC BIND 9 -versioihin:

  • 9.16.3
  • 9.14.12
  • 9.11.19
  • 9.11.19-S1 (Supported preview edition)

Lisätietoja