Hjem Om Norid Websøk
Domeneregistrering Klager og konflikter Regelverket for .no Slå opp domenenavn Statistikk og analyse Vanlige spørsmål Ordliste Publikasjoner

Sårbarhet i DNS

Informasjonen på denne siden er ment for registrarer som
  • kjører egen navnetjeneste
  • tilbyr rekursiv navnetjeneste til sine kunder
  • selv driver tjenere og arbeidsstasjoner

Advarselen gjelder alle med driftsansvar for egne eller andres maskiner, og vi ber spesielt registrarer som også opererer som internettleverandører om sikre seg at tjenere og tjenester som tilbys til kunder er oppdatert.

Vennligst oversend denne informasjonen til driftspersonell for vurdering!

English summary

This is a message from Norid til the registrars regarding the recent DNS vulnerability. Please read US-CERT Vulnerability Note VU#8001113 for information regarding this. See http://www.kb.cert.org/vuls/id/800113

Norid reminds all registrars to install the necessary patches, especially on recursive (caching) domain name servers.

The authoritative name servers for .no are not vulnerable.

Sammendrag

Det er oppdaget en ny og mer effektiv måte å utnytte en kjent svakhet i DNS-protokollen. Sårbarheten som er oppdaget gjør det er enklere enn antatt utnytte DNS-tjenere til å spre forfalsket informasjon. Denne teknikken kalles gjerne DNS poisoning. Nyheten om dette ble publisert tidligere denne måneden, og mange av dere har sikkert fått det med seg allerede.

Sårbarheten gjelder selve DNS-standarden, og finnes dermed i de fleste implementasjoner, inkludert de mest brukte. Alt fra tjenere på ISP-nivå til bedriftsinterne tjenere, klienter og innebygde enheter vil kunne være sårbare.

Her kan du teste om DNS-tjeneren du benytter er utsatt for sårbarheten: http://doxpara.com/

Mer informasjon:
Norsk senter for informasjonssikring
NorCERT

Hvem gjelder dette?

Norid velger sende ut denne informasjonen til alle registrarene. Mange av dere kjører IKKE rekursive navnetjenere, og er derfor ikke utsatt for denne feilen. Samtidig er det viktig at alle som faktisk kjører slike navnetjenere sørger for å oppgradere disse.

I tillegg er det viktig at alle arbeidsstasjoner, bærbart utstyr og andre datamaskiner også blir oppdatert med relevante oppdateringer fra leverandøren.

Dersom du er usikker på om dette gjelder deg, ta kontakt med din IT-drift, IT-support eller programvare/server-leverandør for hjelp.

Norid vil ikke kunne gi support eller svare på spørsmål som går på den enkeltes installasjon/utstyr.

Navnetjenesten for .no har ikke rekursive (cachende) navnetjenere, og er dermed ikke utsatt for denne sårbarheten.

Teknisk

Konsekvensen av svakheten er at det er mulig for en angriper å injisere falskt innhold i rekursive (cachende) navnetjenere, for senere å utnytte dette til dirigere brukere av DNS-tjenesten til andre nettadresser enn de som er korrekt konfigurert for et gitt domene. Dette kan i ondsinnet øyemed brukes til flere ting: f.eks phishing, svindel, og til å laste ned ondsinnet kode for å nevne noen opplagte bruksområer.

Svakheten i seg selv går ut på at utfallsrommet for Query Id bare er på 16 biter, og i tillegg er de fleste implementasjoner av DNS forutsigbare med hensyn til bruken av Query Id. Denne ID-en brukes for matche spørsmål og svar i den UDP-baserte delen av DNS. Forutsigbarheten i valg av Query Id kan utnyttes av en angriper til å injisere et falskt svar og dermed "forgifte" innholdet av cachen.

Hvem er utsatt?

Alle cachende (rekursive) navnetjenere er i faresonen. Åpne, rekursive navnetjenere (dvs. som svarer rekursivt til alle og enhver) er SPESIELT utsatt.

Det spiller ingen rolle om navnetjeneren står direkte mot internett eller om den bruker NAT eller VPN for å kontakte internett.

Autoritative og ikke-rekursive navnetjenere er ikke berørt.

Hva må gjøres?

  1. Test om du bruker en sårbar DNS-tjener. Dette kan du gjøre på http://doxpara.com/
  2. Oppdater DNS-tjenerne. De fleste leverandører vil tilby en oppdatering av DNS navnetjener- programvare. Se lenker lenger nede i denne eposten.
  3. Sørg for at rekursive navnetjenere KUN tilbyr rekursiv navnetjeneste for det adresseområdet de er ment å betjene. Hvis man har navnetjenere hvor det ikke er mulig å spesifisere dette (f.eks Microsofts DNS-tjener) så er dette en framifrå anledning til å splitte DNS-tjenesten i en ren publiserende navnetjener på "utsiden" og en rekursiv navnetjener på "innsiden".
  4. Noen navnetjenere er konfigurert til å bruke ett bestemt "fra" portnummer når de stiller spørsmål til andre navnetjenere. Dette har vært gjort i den hensikt lage et så lite hull som mulig i pakkefiltre/brannmurer. Ironisk nok virker dette mot sin hensikt i dette tilfellet. Det anbefales nå at DNS-tjenerne gjerne bruker hele registeret av UDP-porter mellom 1024 og 65535 for å minske sannsynligheten for at en angriper får inn en fulltreffer, og oppdateringene av DNS navnetjenerprogramvare utnytter dette ved å variere avsender-port mellom ulike forespørsler. Pass derfor på å justere eventuelle pakkefiltre tilsvarende.
Mer informasjon:

Alvorlighetsgrad

Tilstanden betegnes som svært alvorlig av de fleste sikkerhetseksperter. En del detaljer er allerede publisert og det finnes allerede programvare som utnytter sårbarheten. Oppdageren av svakheten, Dan Kaminsky (IOActive/ISC), vil publisere alle detaljer om sårbarheten på Black Hat konferansen den 7. august.

Man forventer en betydelig fremvekst av automatiserte innretninger for utnytte denne DNS-svakheten.

Sist endret 13. august 2008
UNINETT Norid AS   •   NO-7465 TRONDHEIM   •   Telefon +47 07355   •   Faks +47 73 55 79 99   •   info@norid.no