BIND9 – Exploit de Denegación de Servicio

Share this…

BIND es uno de los servidores de DNS más populares del mundo. Él es parte de la mayoría de los cPanel e de las instalaciones de servidores VPS y dedicados, además, BIND se utiliza por la mayoría de los proveedores de DNS.

Hace una semana, el equipo de Internet Systems Consortium (ISC) publicó un parchepara una vulnerabilidad de denegación de servicio grave (CVE-2.015-5477), que permite a un atacante remoto no autenticado bloquear el BIND (nombrado) daemon y suspender un servidor DNS.

Esto sucede debido a un error en la forma en que BIND maneja consultas TKEY, un único paquete UDP puede desencadenar un error de aserción, haciendo que el daemon DNS deje de trabajar.

BIND9 – Exploit de Denegación de Servicio

Exploits

Debido a su gravedad, lo hemos monitoreado activamente para saber cuando esta hazaña actuaría en vivo. Confirmamos que los ataques comenzaron. DNS es una de las partes más críticas de la infraestructura de Internet, la pérdida de su DNS también significa la pérdida de su correo electrónico, de su HTTP, es decir, si eso ocurre, todos sus otros servicios no estarán disponibles.

Si usted no ha hecho el parche de su servidor DNS, ¡hazlo ahora!

Todos los principales distribuidores de Linux (RedHat, CentOS, Ubuntu, etc) ya han publicado parches para esa vulnerabilidad y un simple “ yum update ” en Redhat/Centos o “ apt-get update ” en sistemas basados en Debian lo protegerá. Recuerde, sin embargo, que usted debe reiniciar el BIND después de su actualización para que ella tenga efecto.

Si ejecuta su propio servidor DNS, una forma rápida de ver si está vulnerable es buscar “ANY TKEY” en sus logs de DNS:

Aug 2 10:32:48 dns named[2717]: client a.b.c.d#42212 (foo.bar): view north_america: query: foo.bar ANY TKEY + (x.y.z.zz)

De hecho, usted puede buscar cualquier tipo de aplicación TKEY, ya que ellas no son muy comunes, y ver si hubo algún intento de exploración. El ejemplo anterior es uno de los exploits públicos. Tenga en cuenta que es necesario tener querylog habilitado (lo que puede hacer con el “rndc querylog activado“).

Los clientes que utilizan nuestro servidor DNS, que es parte de nuestro Firewall de sitios web ya están protegidos contra esta vulnerabilidad. Para nuestros clientes: para permitir el uso de nuestro administrador de DNS, vea las instrucciones en nuestra Base de Conocimiento.

Fuente:https://blog.sucuri.net