Kaksi haavoittuvuutta ISC BIND 9 -nimipalvelimessa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kaksi haavoittuvuutta ISC BIND 9 -nimipalvelimessa

22. toukokuuta 2020 klo 10.53

ISC BIND 9 -nimipalvelinohjelmistosta on löydetty kaksi haavoittuvuutta, joilla hyökkääjä voi verkon yli aiheuttaa palvelunestotilan tai käyttää rekursiivistä nimipalvelinta ns. amplifikaatiohyökkäykseen suurella kertoimella.

Tutkijat ovat löytäneet kaksi haavoittuvuutta (CVE-2020-8616 ja CVE-2020-8617), joita hyökkääjän on mahdollista käyttää verkon yli.

Haavoittuvuus CVE-2020-8616 mahdollistaa ns. amplifikaatiohyökkäyksen suurella kertoimella (1600x - 20000x) hyökkääjän luomilla nimipalvelupyynnöillä haavoittuvalle, rekursiiviselle ISC BIND 9 -nimipalvelimelle. Tätä haavoittuvuutta voidaan käyttää hyökkäysmekanismina toisiin kohteisiin tai kuluttamaan nimipalvelimen resurssit ja täten aiheuttaa palvelunestotila DNS-palveluille.

Tämän haavoittuvuuden hyväksikäyttö perustuu hyökkääjän hallussa olevan valtuutetun nimipalvelimen (authoritative server) lähettämiin vastauksiin, joissa NS-tietueissa annetaan pelkät DNS-nimet eikä niiden IP-osoitteita sisältäviä ns. liimatietueita (glue record). Tällöin uhripalvelin joutuu kyselemään jokaisen NS-tietueen nimen vielä erikseen - edelleen hyökkääjän palvelimelta. Näiden nimipalvelinten nimien osalta voidaan yhä antaa lisää liimattomia NS-tietueita ja täten aiheuttaa lisäkuormaa.  

Haavoittuvuus CVE-2020-8617 johtuu BIND-nimipalvelimen ohjelmistovirheestä TSIG-tietueiden käsittelyssä. Hyökkääjä voi lähettää verkon yli erityisesti muotoiltuja nimipalveluviestejä, jotka ohjelmistovirheen takia voivat aiheuttaa BIND-nimipalvelimen pysähtymisen tai joutumisen tuntemattomaan tilaan. Tämä ohjelmistovirhe on ISC:n tietojen mukaan lähes kaikkialla oletusasennuksessa mukana. Tämän haavoittuvuuden hyväksikäyttö edellyttää, että hyökkääjä arvaa palvelimen käyttämän TSIG-avaimen nimen.

Haavoittuvuuden kohde

Tuetut ISC BIND 9 versiot:

  • 9.16.0 - 9.16.2
  • 9.14.0 - 9.14.11
  • 9.11.0 - 9.11.18
  • 9.9.3-S1 - 9.11.18-S1 (Supported preview edition)

Tuen ulkopuolella olevat haavoittuvat versiot:

  • 9.10.x
  • 9.12.x
  • 9.13.x
  • 9.15.x
  • 9.17.x

Mistä on kysymys?

Päivitys korjattuihin ISC BIND 9 -versioihin:

  • 9.16.3
  • 9.14.12
  • 9.11.19
  • 9.11.19-S1 (Supported preview edition)

Mitä voin tehdä?

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Palvelunestohyökkäys

Palvelunestohyökkäyksen tarkoituksena on estää kohdejärjestelmää toimimasta siinä tehtävässä mihin se on tarkoitettu. Hyökkäyksen tarkoituksena voi olla esimerkiksi www- tai sähköpostipalvelimen kuormittaminen runsaalla verkkoliikenteellä.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.