Navigate
X

Security alert: CVE-2015-5477 BIND9 TKEY remote assert DoS

והפעם, כותרת מפחידה לפרצת אבטחה קריטית.

(בעיקר) למי ששלא מכיר, Bind הוא שרת ה-DNS הפופולרי בעולם.
DNS הוא השירות שאחראי לבצע תרגום של כתובות האתרים אליהם אנו גולשים (לדוגמא: spd.co.il) לכתובות ה-IP שלהם, ללא שימוש בשרתי ה-DNS, סביר להניח שהאינטרנט לא היה מתפתח לרשת כפי שאנחנו מכירים אותה כיום.
למה? פשוט מכיוון שעל מנת לגלוש לאתר היינו צריכים להקיש את כתובת הIP שלו (סדרת מספרים) ולא את השם שאנו מכירים (לדוגמא: 149.126.73.105 במקום spd.co.il – פחות נוח, לא?).

לפיכך, כל פרצת לשירות ה-Bind היא חשובה, פרצה בסדר הגודל עליה נכתוב מיד – קריטית.

מהות הפריצה

הפריצה היא למעשה באג בשרת ה-Bind אשר לא יודע לטפל נכון בשאילתות מסוג TKEY ומאפשרת לתוקף להפיל את שירות ה-DNS של כל שרת שטרם תוקן באמצעות שורת פקודה פשוטה.

הבדיקה נפרצה ואושרה בגרסאות ה-Bind הבאות:

  • 9.1.0 עד 9.8 (לא כולל 9.8)
  • 9.9.0 עד 9.9.7
  • 9.10.0 עד 9.10.2

כיצד נאתר אם השרת שלנו פגיע?

לצורך הבדיקה אנחנו למעשה צריכים לבדוק את גרסת ה-Bind המותקנת על השרת.

מתוך השרת

named -v

מחוץ לשרת

dig @change.this version.bind txt chaos

איך מתגוננים?

תהליך זה צריך להיות מבוצע ע"י איש מקצוע בעל נסיון – ביצוע לא נכון של פעולות אלו עלול לגרום לחוסר זמינות של שרת ה-DNS כתוצאה מהעדכון!

שרתי Linux

  • רד האט / סנטוס: yum update bind
  • דביאן / אובונטו: apt-get install bind9

שרתי Windows (מבוססי Plesk)

  1. ראשית יש לגבות את תוכן תיקית ה-DNS:
    C:\Program Files (x86)\Parallels\Plesk\dns
  2. יש להוריד את גרסת ה-Bind העדכנית (נכון לעתה, 9.10.2P3):
    https://www.isc.org/downloads/file/bind-9-10-2-p3/?version=win-64-bit (גרסת ה-64 ביט)
    ולפרוס אותה לתיקיה חדשה: C:\Program Files (x86)\Parallels\Plesk\dns\BIND9.10.2-P3.x64
  3. נעצור את שרת ה-Bind ע"י הרצה של הטקסט הבא ב-CMD:
    net stop named
  4. העתקת תוכן התיקיה שיצרנו (C:\Program Files (x86)\Parallels\Plesk\dns\BIND9.10.2-P3.x64) לתיקיית ה-BIN של ה-Bind:
    C:\Program Files (x86)\Parallels\Plesk\dns\bin
  5. ניצור קישור בין התיקיות:
    mklink /D "c:\Windows\System32\etc" "C:\Program Files (x86)\Parallels\Plesk\dns\etc"
  6. נפעיל מחדש את שרת ה-Bind ע"י הרצה של הטקסט הבא ב-CMD:
    net start named

עדכנו עכשיו!

כלל הלקוחות הנמצאים תחת שירותי הניהול ב-SPD אחסון אתרים (שרתים שיתופיים, וירטואלים ויעודיים) יכולים לישון בשקט – כולם מוגנים מפרצה זו.

Tags: binddnsexploitnamed
מנהל מערכת: חלק מחברת SPD Hosting החל משנת 2006. כחלק מהתפקידים שלי בחברה, אני אחראי על תוכניות ההכשרה של עובדים חדשים. חי ונושם Hosting, קוד פתוח ו-Linux (ויש גם מילה טובה ל-Windows)
Related Post
  1. בוטים טובים – בוטים רעים והשפעה שלהם על אתרי האינטרנט שלנו!

    מה זה "בוט" בכלל?המונח "בוט" הוא קיצור של רובוט, ובהקשר של מחשוב ואינטרנט ה "בוט"…

  2. ISLAND – The Enterprise Browser

    דמיינו עולם בו כל הגנות הסייבר מתרכזות למקום אחד!בקרות רשת, הגנה על נתונים, מדיניות גישה…

  3. שירותי ה WAF והגנות DDOS של IMPERVA

    IMPERVA - מובילים בבטחה באבטחת מידע  SLA לעצירת מתקפת DDOS עד 3 שניותהתקנה מיידית –…