CERT.at publiziert DNS Bericht zur Lage in Österreich bzgl. Cache Poisoning.

24. Juli 2008 Angriffscode wurde veröffentlicht -- CERT.at publiziert Bericht zur DNS-Sicherheitslage in Österreich

Zusammenfassung

Schwerwiegende Sicherheitslücke im Domain Name System (DNS) des Internets entdeckt und automatisiert angreifbar geworden. CERT.at empfiehlt, rekursive DNS Server jetzt zu aktualisieren.

 

Die Diskussion um Dan Kaminsky's Entdeckung einer schwerwiegenden Schwachstelle im DNS System hat eine neue Wendung bekommen: während noch vor kurzem davon auszugehen war, dass Internet Service Provider (ISPs) und Firmen bis zum 6.August Zeit hatten, ihre rekursiven DNS Server zu patchen, verkürzte sich diese Zeitspanne nunmehr auf "bis gestern" nachdem Matasano die Details zu dem Angriff veröffentlichte. Wenig später nur war der Angriff schon automatisiert in Metasploit implementiert.

 

Untersuchungen von CERT.at zeigen, dass etwa 2/3 der aller rekursiven DNS Server in Österreich derzeit verwundbar sind.

 

Update, 28. 7. 2008:
Aktuelle Daten zeigen zwar leichte Fortschritte, es sind aber immer noch mehr als die Hälfte aller Server verwundbar.

Hintergrund

DNS (Domain Name System) ist das zentrale System im Internet, um eine Zuordnung von domains (wie zB www.google.com) zu IP Adressen (Internet Adressen) zu gewährleisten.

 

Die Schwachstelle im DNS System attackiert über sogenanntes "cache poisoning" zentrale DNS Server. Angreifern ist es somit möglich, eine gefälschte Antwort für DNS Anfragen in zentrale DNS Server einzuschmuggeln.

 

Während ein Internet Bentuzer einfach nur auf die Seite "www.meinebank.at" gehen will, kann der DNS Server schon eine falsche Antwort in seinem Zwischenspeicher ("cache") haben und in Wirklichkeit auf "www.boesercracker.com" zeigen. Der Internet Benutzer merkt hiervon nichts.

 

CERT.at hat die Situation aller DNS Server in Österreich untersucht und kommt zu dem Ergebniss, dass mind. zwei drittel aller DNS Server in Österreich angreifbar sind.

 

Im Zusammenspiel mit der mittlerweile automatisierbarene Angriffsmöglichkeit via Metasploit, möchten wir die Öffentlichkeit eindringlich erinnern, sämtliche DNS Server auf neuere Versionen aktualisieren.

 

Es wurde daher notwendig, alle verfügbaren Verteidigungsmechanismen einzusetzen, dazu gehört auch Source Port Randomization. Dieses Feature wurde in der letzten Zeit in Nameserversoftware eingebaut.

Abhilfe

Was kann gegen das Problem unternommen werden?

  1. Überprüfen Sie, ob der DNS Server, den Sie verwenden angreifbar ist. (Linux Benutzer können dies auch mit dig +short porttest.dns-oarc.net TXT machen)
  2. Falls Ihr DNS Server verwundbar ist, aktualisieren Sie ihn jetzt.
  3. Falls Sie den DNS Server nicht updaten können, informieren Sie ihren Systemadministrator.

 

Informationsquelle(n):

CERT.at advisory
http://cert.at/warnings/all/20080708.html
BIND Nameserver
http://www.isc.org/index.pl
Leak pastebin
http://amd.co.at/dns.htm
Exploit veroeffentlicht
http://blogs.zdnet.com/security/?p=1545
CERT report
http://www.cert.at/
Cache poisoning
http://de.wikipedia.org/wiki/Cache_Poisoning
Bind updates
http://www.isc.org/sw/bind/
Dan Kaminksy's DNS checker test
http://www.doxpara.com/
Dan Kaminsky's initialer Bericht
http://www.doxpara.com/?p=1162
CERT.org Bericht
http://www.kb.cert.org/vuls/id/800113
Leak pastebin
http://amd.co.at/dns.htm
exploit published
http://blogs.zdnet.com/security/?p=1545
Dan Kaminsky's test
http://www.doxpara.com/
background on hackers finding out *everything* if they want to
http://searchsecurity.techtarget.com.au/articles/25718-What-we-can-all-learn-from-how-the-DNS-flaw-was-handled