- PVSM.RU - https://www.pvsm.ru -
В популярном DNS-сервере BIND обнаружена [2] критическая уязвимость. Ее эксплуатация позволяет злоумышленнику получить корректную подпись для произвольных данных и с помощью этой подписи вносить в него изменения или получать список всех DNS-записей сервера (dns zone transfer attack).
Уязвимость CVE-2017-3143 обнаружена в реализации протокола аутентификации для BIND DNS под названием TSIG. Также протокол TSIG используется рядом других DNS-сервисов вроде PowerDNS, NSD и Knot DNS.
Исследователи компании Synacktiv обнаружили ошибку в обработке TSIG-записей, позволяющую злоумышленнику, который знает название ключа (key name) преодолевать механизм защиты операций обновления зоны, оповещения и трансфера зон.
Если отправить TSIG-дайджест неправильной длины (больше той, что должна быть при используемом алгоритме хеширования), сервер, вместо пустой подписи, вернет данные из запроса злоумышленника с корректной подписью. В результате атакующий получает возможность получить правильную подпись для произвольных поддельных данных и преодолеть аутентификацию TSIG. Уязвимость может быть использована злоумышленниками для изменения данных или получения доступа к файлу с DNS-зонами.
Согласно RFC 2845, ответный дайджест вычисляется от трех полей из запроса:
Таким образом, эксплуатация уязвимости происходит в несколько этапов:
14-Jun-2017 07:48:55.003 client 172.17.42.1#50445/key tsig_key: updating zone 'example.com/IN': adding an RR at 'i.can.inject.records.in.the.zone.example.com' TXT "injected"
Согласно опубликованной исследователями информации, наличие уязвимости подтверждено для следующих версий BIND:
По данным компании ISC, под лицензией которой распространяется программное обеспечение BIND, также уязвимы версии:
Представители Synaktiv в своем материале также представили код PoC-эксплоита для данной уязвимости.
Специалисты ISC опубликовали патч [3] для устранения описанной ошибки безопасности. Кроме того, эксперты Positive Technologies создали сигнатуру для IDS Suricata, которая позволяет выявлять и предотвращать попытки эксплуатации уязвимости CVE-2017-3143 по сети, в архиве также пример трафика при эксплуатации данной уязвимости:
Автор: Positive Technologies
Источник [11]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/bind/260143
Ссылки в тексте:
[1] Image: https://habrahabr.ru/company/pt/blog/332880/
[2] обнаружена: http://www.synacktiv.ninja/ressources/CVE-2017-3143_BIND9_TSIG_dynamic_updates_vulnerability_Synacktiv.pdf
[3] патч: https://deepthought.isc.org/article/AA-01503/
[4] #BIND: https://twitter.com/hashtag/BIND?src=hash
[5] #TSIG: https://twitter.com/hashtag/TSIG?src=hash
[6] #Authentication: https://twitter.com/hashtag/Authentication?src=hash
[7] #Suricata: https://twitter.com/hashtag/Suricata?src=hash
[8] https://t.co/guHgAPhsNN: https://t.co/guHgAPhsNN
[9] https://t.co/LJWhrdKswc: https://t.co/LJWhrdKswc
[10] July 10, 2017: https://twitter.com/AttackDetection/status/884540269256986624
[11] Источник: https://habrahabr.ru/post/332880/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best
Нажмите здесь для печати.