RSS Feed
更好更安全的互联网

CVE-2015-5477-BIND查询拒绝服务漏洞报告

2015-08-06

214634ey75e65qmhz4h764

知道创宇安全研究团队    2015 . 04. 23

本文 PDF 下载2015-08-05-ISC-BIND查询拒绝服务漏洞报告


 

1. 漏洞描述

ISC BIND是美国Internet Systems ConsortiumISC)公司所维护的一套DNS域名解析服务软件。该软件被披露存在拒绝服务漏洞,由于TKEY查询的错误可导致BIND服务器发生REQUIRE断言失败并停止服务,攻击者利用漏洞可恶意构造数据包,导致TKEY记录查询错误,进而导致BIND服务器发生REQUIRE断言失败并停止服务。CNVD对该漏洞的综合评级为“高危”。

漏洞影响BIND 9所有版本(包括BIND 9.1.0版本至BIND 9.9.7-P1BIND 9.10.0BIND 9.10.2-P2版本),互联网上对应版本的递归服务器和权威服务器均受到该漏洞影响。根据实际使用情况评估,尽管TKEY查询功能使用较少,但由于基于漏洞构造的恶意攻击包有可能存在极强的前置条件,即使在服务器上配置访问控制列表或限制(拒绝)相关配置选项,也不能有效防范漏洞攻击。

BIND查询拒绝服务漏洞能让黑客远程非授权对BIND所在服务器进行攻击,直至该DNS服务器崩溃,因为BIND句柄的TKEY查询中出现了bug,一个简单的UDP包就可以导致BIND服务器出现“assertion failure”错误,进而服务器上的DNS服务守护进程会结束。

DNS服务器使用方建议查找DNS日志里有没有“ANY TKEY”之类的关键词来判断是否该漏洞。

示例DNS攻击日志如下:

log

上面的日志例子就是一个黑客EXP留下的信息。这还需要通过rndc querylog on命令启用querylog来实现。

2. 影响范围

20158月初,知道创宇ZoomEye团队对全国DNS服务器进行了摸底探测,发现国内共有420084DNS服务器。其中使用ISC BIND服务的服务器有29,913台,占总量的7.1%

我国使用ISC BIND的服务器占全国比例已达到7.1%,对我国基础网络稳定有较大的威胁,一旦遭受网络攻击将引发dns服务异常,从而会导致大范围网络中断。

2.1 使用ISC BIND的服务器地域分布

使用ISC BIND的服务器地域分布TOP10如图1所示。

webwxgetmsgimg

1 使用ISC BIND的服务器地域分布TOP10

我国使用ISC BIND的服务器地域分布前五名分别是:北京 6,446台 (占我国使用ISC BIND的服务器总数的21.55%, 广东3,684台(占比12.3%),上海2,712台(占比9.07%),江苏 1955台(占比6.54%),浙江1913台(占比6.40%)。

全国DNS服务器 ISC BIND 使用率TOP10,如图2所示:

webwxgetmsgimg (1)

2全国DNS服务器 ISC BIND 使用率TOP10

目前,我国DNS的服务器地域分布中,北京、上海、浙江等地服务器使用ISC BIND服务占比较高,一旦遭受攻击,大量使用ISC BIND服务的城市将会有严重的网络瘫痪。

2.2 使用ISC BIND的服务器版本分布

webwxgetmsgimg (2)

3 使用ISC BIND的服务器版本比例

2.3 使用ISC BIND服务的网络服务提供商分布

我国DNS服务器网络服务提供商分布如图4所示:

webwxgetmsgimg (3)

4 我国DNS服务器网络服务提供商分布

而使用ISC BIND服务的网络服务提供商分布如图5所示。

webwxgetmsgimg (4)

5 使用ISC BIND服务的网络服务提供商比例

由以上统计比例可知,我国使用ISC BIND的网络服务提供商中,前三名分别是中国电信(占比42%)、中国联通(占比25%)和中国移动(占比8%),以上三家网络服务提供商的在我国拥有大量用户,一旦黑客发起大规模攻击,电信、联通服务器首当其冲将会引发连锁反应。

3. 解决方案

目前, 厂商已经发布了漏洞修补程序。知道创宇提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。建议相关用户升级到BIND 最新版本。

下载地址:http://www.isc.org/downloads

作者:niubl | Categories:安全研究 | Tags:

发表评论