Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Patches beschikbaar voor kritiek lek in vrijwel alle DNS-servers

  • Door
  • Arnout Veenman
  • geplaatst op
  • 10 juli 2008 07:59 uur

Er zit een zeer ernstig lek in vrijwel alle DNS-servers die het mogelijk maakt om de cache van DNS servers te vervuilen (cache poisoning), DNS-servers die (ook) gegevens bij andere DNS-servers opvragen en die weer doorgeven aan een DNS-client. Gisteren hebben meerdere vendors tegelijkertijd een patch beschikbaar gemaakt om het lek te dichten.

Het lek zou ontstaan door een design fout in de implementatie van het DNS protocol, die voorkomt bij in vrijwel alle DNS-servers. Als gevolg van de fout is het voor (kwaadaardige) derden mogelijk om de transactie nummers die worden gebruikt al vooraf te raden, waardoor het bijvoorbeeld mogelijk wordt om een verkeerde authorative DNS-server door te geven, waardoor Man-in-the-Middlle en phishing aanvallen mogelijk worden.

De ontdekker van het lek Dan Kaminsky, director of penetration testing services van IOActive, wil verder nog geen technische details over het lek openbaar maken en heeft het bestaan van het lek ook geheim gehouden tot dat gisteren de verschillende vendors met patches voor het lek kwamen. Pas over 30 dagen zal Kaminsky dat tijdens de Black Hat conferentie doen.

De US-CERT is scheutiger met informatie en meldt dat het lek een combinatie van drie verschillende DNS cache poisoning technieken die al reeds bekent waren is, die samen tot een zeer succesvolle methode leiden om de cache te poisonen. Het zou daarbij gaan om:

  • Insufficient transaction ID space
    The DNS protocol specification includes a transaction ID field of 16 bits. If the specification is correctly implemented and the transaction ID is randomly selected with a strong random number generator, an attacker will require, on average, 32,768 attempts to successfully predict the ID. Some flawed implementations may use a smaller number of bits for this transaction ID, meaning that fewer attempts will be needed. Furthermore, there are known errors with the randomness of transaction IDs that are generated by a number of implementations. Amit Klein researched several affected implementations in 2007. These vulnerabilities are described in the following vulnerability notes:

    • VU#484649 – Microsoft Windows DNS Server vulnerable to cache poisoning
    • VU#252735 – ISC BIND generates cryptographically weak DNS query IDs
    • VU#927905 – BIND version 8 generates cryptographically weak DNS query identifiers
  • Multiple outstanding requests
    Some implementations of DNS services contain a vulnerability in which multiple identical queries for the same resource record (RR) will generate multiple outstanding queries for that RR. This condition leads to the feasibility of a ‘birthday attack,’ which significantly raises an attacker’s chance of success. This problem was previously described in VU#457875. A number of vendors and implementations have already added mitigations to address this issue.
  • Fixed source port for generating queries
    Some current implementations allocate an arbitrary port at startup (sometimes selected at random) and reuse this source port for all outgoing queries. In some implementations, the source port for outgoing queries is fixed at the traditional assigned DNS server port number, 53/udp.

Ondanks dat zullen hackers op basis van reverse engineering van de patches vast al eerder ontdekken en zullen cybercriminelen daar binnen zeer korte tijd werkende exploits voor het lek maken. Het is daarom van groot belang dat alle ISP’s hun DNS-servers zo snel mogelijk patchen! Op DoxPara.com kan worden gecontroleerd of jouw DNS-server(s) kwetsbaar zijn!

Patchen dus! Al zullen de patches een zwaardere belasting voor systemen betekenen. Dus test zorgvuldig alvorens de patches (massaal) uit te rollen!

Willem, 10 juli 2008 9:04 am

Het probleem is al veel langer bekend, zie de reactie van Bert Hubert van PowerDNS:
http://blog.netherlabs.nl/articles/2008/07/09/some-thoughts-on-the-recent-dns-vulnerability

Lennie, 10 juli 2008 2:54 pm

De extra belasting was vooral met bind heb ik begrepen, ik stel voor PowerDNS te gebruiken.

MD, 10 juli 2008 6:59 pm

De 'belasting' zit 'm er in dat de gepatchte BIND versies minder goed presteren vanaf zo'n 10.000 queries per seconde. In de beta releases van BIND is de code echter geoptimaliseerd en is de verminderde performance nauwelijks meer merkbaar.

Omdat de gepatchte DNS resolvers o.a. gebruik maken van wisselende 'source'-poorten om de kans op cache poisoning te verkleinen, kan dit in sommige gevallen problemen geven bij (met name stateless) firewall configuraties.

PowerDNS was al geruime tijd 'beschermd', maar Unbound is ook een prima alternatief als je alleen maar een recrusive resolver nodig hebt.

magus, 11 juli 2008 8:56 am

Voor bind betreft het versie8. Een upgrade naar 9 verhelpt het probleem. Patchen is dan niet nodig, geen prestatieverlies (anders dan wat bind8->9 al aan prestatieverschil hebben)

MikeN, 11 juli 2008 11:25 am

@magus: 9 is ook affected hoor, anders waren die -P1 releases e.d. niet uitgekomen ;)

MD, 22 juli 2008 6:44 pm

https://www.dns-oarc.net/
(hier staat ook een goede test om je caching resolver te checken)

Nu patchen, want de details van de kwetsbaarheid zijn voortijdig uitgelekt!

Doe ook na het patchen de controle, want sommige NAT-devices maken de source port randomization weer ongedaan.

Lennie, 24 juli 2008 11:12 am

Als je het wilt weten, er is ook exploit code beschikbaar sinds gisteren en sinds vandaag een nieuwe revisie.

Als je het interview met Bert Hubert van PowerDNS van dag 1 had beluisterd zou je hebben geweten dat de exploit in 200 ms. kan worden uitgevoerd:

http://radio-online.nl/archives/archive_2008-m07.php#e1579

En dat als je geen PowerDNS of djbdns gebruikt dat het dan maar eens tijd wordt dat wel te doen of te patchen.

  • Pingback: Verslag SIDN relatiedag: DNSSEC voor het .nl-domein? » Clippy.be

  • Laatste reacties

    Bedankt voor het succes van ISPam.nl
    Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

    Bedankt voor het succes van ISPam.nl
    Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

    Bedankt voor het succes van ISPam.nl
    L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

    Bedankt voor het succes van ISPam.nl
    Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

    Bedankt voor het succes van ISPam.nl
    Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.