RNP - Rede Nacional de Ensino e Pesquisa

 

Sobre a RNP | Parcerias | Contato

 

A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos

 

RNP > Serviços > Segurança em redes > Alertas do CAIS

Segurança de redes 
 

Alerta do CAIS ALR-19112002

Vulnerabilidade no controle de envio de requisições do BIND versões 4 e 8 permite DNS Spoofing

[CAIS, 19.11.2002, revisão 01]


créditos: Vagner Sacramento, DIMAp-UFRN
sistemas afetados: 4.9.11 e anteriores (4.9.x); 8.2.7 e anteriores (8.2.x); 8.3.4 e anteriores (8.3.x)

1. Resumo

O CAIS/RNP em conjunto com Vagner Sacramento do DIMAp-UFRN, realizaram experimentos com várias versões do Internet Software Consortium's (ISC) Berkeley Internet Name Domain (BIND), certificando a possibilidade de implementação de ataques remotos de DNS Spoofing nas versões 4 e 8.

A aplicação BIND é a implementação do protocolo Domain Name System DNS, mantida pelo ISC. Esta aplicação é utilizada para traduzir os diversos nomes de domínios existentes para os seus respectivos endereços IP e traduzir os endereços IP para os seus respectivos nomes, atendendo requisições de clientes DNS na porta cinqüenta e três (53).

A vulnerabilidade identificada apresenta sérias conseqüências para o funcionamento dos serviços básicos da Internet, pois grande parcela deles depende diretamente do DNS para desempenhar suas funcionalidades.

Ressalta-se que a grande maioria dos servidores DNS na Internet utilizam o BIND. Recentes informações obtidas junto a Bill Manning da USC/ISI, indicam que mais de 60% dos atuais servidores DNS ainda usam versões antigas e vulneráveis do BIND.

O problema relatado neste alerta trata da constatação de que as versões 4 e 8 do BIND não inibem o envio de duas ou mais requisições para a resolução do mesmo nome de domínio, possibilitando que ataques de DNS Spoofing sejam aplicados com alto percentual de sucesso.

2. Detalhes

As versões 4 e 8 do BIND, apresentam facilidades que permitem ataques remotos de DNS Spoofing contra servidores DNS.

O ataque tem o objetivo de antecipar uma resposta com informações falsas para o servidor DNS vítima, fazendo com que ele armazene em cache um endereço IP falso para um determinado nome de domínio.

Para entender melhor a vulnerabilidade identificada, considere o cenário descrito a seguir. Quando n clientes DNS diferentes enviam, simultaneamente, requisições para um servidor DNS vítima, executando BIND 4 ou BIND 8, na tentativa de resolver o mesmo nome de domínio, o servidor vítima irá então, encaminhar todas as requisições recebidas para servidores DNS na Internet, procedendo com a consulta a partir dos root-servers, como de praxe, na tentativa de encontrar as respostas para cada uma das requisições.

Neste contexto, a vulnerabilidade identificada pode ser explorada se um atacante enviar para o servidor DNS vítima, n requisições simultaneamente, utilizando em cada uma delas, endereços IP de origem diferentes e o mesmo nome de domínio. A partir de então, o servidor DNS vítima irá enviar todas requisições recebidas para servidores DNS na Internet, na tentativa de resolvê-las. Tais requisições são tratadas de forma independente, sendo portanto associado a cada uma delas, um identificador (ID) diferente. Conseqüentemente, este servidor estará aguardando n respostas com diferentes IDs para a resolução do mesmo nome de domínio. O atacante então, envia algumas dezenas de respostas com diferentes IDs para o servidor DNS vítima, na tentativa de acertar uma das respostas esperadas por este, aplicando desta forma o ataque de DNS Spoofing.

A probabilidade de sucesso na implementação de ataques de DNS Spoofing no BIND 4 e BIND 8 está associada a equação: n-request-sent/65535, onde n-request-sent é o número de requisições enviadas simultaneamente ao servidor DNS vítima.

3. Impacto

O funcionamento da maioria dos serviços na Internet, depende do bom funcionamento dos servidores DNS. Outros serviços podem ser afetados, caso as vulnerabilidades associadas ao serviço DNS sejam exploradas com sucesso. Através de um ataque de DNS spoofing, o atacante pode conduzir um ataque de DoS ou ainda se fazer passar por uma entidade confiável.

O atacante poderá injetar uma informação falsa no cache do servidor DNS, mapeando um nome de domínio qualquer para o endereço IP que desejar. Algumas conseqüências diretas de ataques de DNS Spoofing são:

  • o comprometimento de aplicações (smtp, http, ldap, ftp, ssh, ...) que necessitem do serviço de DNS para tradução de nomes, gerando informações falsas e consequentemente interceptando dados sensíveis;
  • a "falsificação" de sites Web, uma vez que o atacante pode mapear o endereço de um site (www.mydomain.br) para o endereço IP (1.2.3.4) do servidor Web que desejar;
  • ataques decorrentes da exploração de relações de confiança existentes entre aplicativos de segurança que se baseiem no nome dos hosts.

4. Sistemas Afetados

São afetados todos os servidores de DNS que executam as seguintes versões do ISC BIND:

· 4.9.11 and prior (4.9.x);
· 8.2.7 and prior (8.2.x);
· 8.3.4 and prior (8.3.x);

5. Correções

Recomenda-se fazer a atualização do BIND para a versão 9.2.1, disponível em: http://www.isc.org/products/BIND/bind9.html

6. Ações Recomendadas

Algumas recomendações adicionais pertinentes com relação a segurança de servidores DNS, são:
configurar o servidor DNS de modo a permitir recursividade somente para as estações de seu domínio;
configurar regras anti-spoofing no firewall e/ou no roteador de borda;
implantar uma topologia de redes que permita abrigar o servidor DNS em uma DMZ (Zona Desmilitarizada).
Além destas, devem ser consideradas as best pratices para configuração segura do servidor DNS citadas no documento recentemente divulgado pelo CERT/CC, Securing an Internet Name Server, disponível em: http://www.cert.org/archive/pdf/dns.pdf

7. Referências

[1] Internet Software Consortium;
http://www.isc.org
[2] Securing na Internet Name Server; Cricket Liu;
http://www.linuxsecurity.com/resource_files/
[3] DNS and BIND, 4th Edition; Paul Albitz & Cricket Liu; May 2001
http://www.oreilly.com/catalog/dns4/chapter/ch11.html
[4] Securing an Internet Name Server; CERT Coordination Center; Allen Householder, Brian King, Ken Silva
http://www.cert.org/archive/pdf/dns.pdf

8. Agradecimentos

A Vagner Sacramento, que identificou a vulnerabilidade tratada neste alerta durante sua pesquisa de mestrado desenvolvida no DIMAp/UFRN sob a orientação da Prof.a Thais Vasconcelos Batista e do Prof. Guido Lemos de Souza Filho.

A Thiago Alves da Silva, pelo suporte aos testes realizados no CAIS



Centro de Atendimento a Incidentes de Segurança

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Consulta em alertas

 

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Notícias RNP

RNP na mídia

Sala de imprensa

Publicações

Documentos

RSS da RNP

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais

11.10.2012

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731


Rede Nacional de Ensino e Pesquisa

Prédio da Embrapa/Unicamp Av. André Tosello, 209

Cidade Universitária Zeferino Vaz - Campinas - SP

13083-886

tel: 55 19 3787-3300

fax: 55 19 3787-3301


Rede Nacional de Ensino e Pesquisa

SAS, quadra 5, lote 6, bloco H, 7° andar Edifício IBICT

Brasília - DF

70070-914

tel: 55 61 3243-4300

fax: 55 61 3226-5303