Predicción de identificadores de transacción en BIND

Hola:

Se ha descubierto una vulnerabilidad en BIND que podría ser aprovechada por un atacante para envenenar la caché DNS. Esto permitiría ataques de tipo phishing, por ejemplo, si el usuario realiza una consulta a un servidor BIND comprometido y es redirigido de forma transparente a un servidor que no corresponde realmente con el dominio.

BIND (también conocido como ‘named’) es el software servidor de nombres de dominio (DNS) más popular en las diferentes versiones y distribuciones de Unix. Se trata de un software desarrollado por el ISC (Internet Software Consortium), un consorcio donde se encuentran representadas algunas de las empresas más importantes del sector informático y que tiene como objetivo el desarrollo de las implementaciones de referencia de los principales protocolos básicos de Internet. Esto hace que muchos sistemas operativos incluyan, de forma nativa, BIND.

Esta vulnerabilidad se debe a identificadores predecibles en las consultas salientes, como por ejemplo las respuestas de resolución. Un atacante podría averiguar por análisis criptográfico aproximadamente un 10% de identificadores de consulta. Suficiente para realizar un ataque. El problema se basa en que los identificadores no son calculados con la suficiente aleatoriedad.

El ataque permite que un atacante lo aproveche de numerosas formas distintas. Si se pueden adivinar en cierta forma los números de identificación de transacciones DNS en el servidor, es posible engañarlos, de forma que resuelvan un dominio a una dirección IP que no le corresponde. Esto haría que si un servidor DNS es atacado y su caché envenenada, los usuarios que resuelvan a través de él envíen a los visitantes a máquinas distintas que adonde se supone deberían llegar al teclear un dominio en el navegador, por ejemplo. Así, este ataque permite realizar ataques phishing (si no se utiliza o el usuario no repara en el SSL con autenticación de servidor), entre muchos otros.

No es la primera vez que BIND, con un abultado historial de incidentes de seguridad, permite este tipo de vulnerabilidades. El envenenamiento de caché de servidores ha sido posible otras veces en el pasado. De hecho, esta vulnerabilidad es muy similar a otras ya expuestas en 2001 y 2003, pero la novedad de este fallo es que se ha descrito un método mucho más sencillo y con más probabilidades de tener éxito con menor “esfuerzo”. El descubridor se pregunta cómo, después de tanto tiempo conociendo técnicas de este tipo, no se ha modificado el algoritmo para conseguir que los identificadores sean realmente impredecibles.

Esta vulnerabilidad afecta a las siguientes versiones:

* BIND 9.0 (todas las versiones).
* BIND 9.1 (todas las versiones).
* BIND 9.2.0, 9.2.1, 9.2.2, 9.2.3, 9.2.4, 9.2.5, 9.2.6, 9.2.7, 9.2.8.
* BIND 9.3.0, 9.3.1, 9.3.2, 9.3.3, 9.3.4.
* BIND 9.4.0, 9.4.1.
* BIND 9.5.0a1, 9.5.0a2, 9.5.0a3, 9.5.0a4, 9.5.0a5.

Se recomienda actualizar a las versiones BIND 9.2.8-P1, BIND 9.3.4-P1, BIND 9.4.1-P1 desde
http://www.isc.org/index.pl?/sw/bind/bind-security.php o desde los respositorios específicos de cada distribución.

También se ha descubierto que las listas de control de acceso por defecto permitirían a un atacante hacer peticiones recursivas o consultar la caché. Se recomienda establecer las ACL allow-query-cache y allow-recursion a:
{ localnets; localhost; };

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3196/comentar

Más Información:

BIND 9: allow-query-cache/allow-recursion default acls not set.
BIND 9: cryptographically weak query ids.
http://www.isc.org/index.pl?/sw/bind/bind-security.php

“DNS Cache Poisoning – The Next Generation”
http://www.lurhq.com/cachepoisoning.html

Strange Attractors and TCP/IP Sequence Number Analysis
http://lcamtuf.coredump.cx/oldtcp/tcpseq/print.html

New version of BIND fixes cache poisoning vulnerability
http://www.heise-security.co.uk/news/93273

Fuente:

http://www.hispasec.com

Publicado en Noticias

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: