Nos últimos dias foi descoberto uma vulnerabilidade no BIND que permite um DoS ao serviço. Qualquer pessoa que perceba alguma coisa disto das internetes percebe a gravidade da situação.
Quero acreditar que os DNS Root servers já estejam pachados e que um ataque a este nível esteja limitado, mas no nível acima diria que mais de 90% dos nameservers estão vulneráveis, e como arrasto todos os serviços em cimas desses domínios.
Mandam as boas práticas que os frontends sejam os slaves e o backend o master, sendo este apenas acessível pela intranet. Neste cenário, e lendo o aviso da ISC quem tem uma infraestrutura deste tipo não está vulnerável.
"ISC notes that this vulnerability affects all servers that are masters for one or more zones and is not limited to those that are configured to allow dynamic updates. ISC also indicates that the attack packet has to be constructed for a zone for which the target system is configured as a master; launching the attack against slave zones does not trigger the vulnerability."
Aparentemente anda a ser esquecido pelos administradores de sistemas que mesmos os nameservers que actuam como slaves, por defeito actuam como master da zona "0.0.127.in-addr.arpa" pelo que a grande maioria deles também está vulnerável, sendo apenas necessário pequenas alterações no exploit que por aí circula.
O problema ainda se torna mais grave se combinarmos este exploit com um outro conhecido que permite prever o TXID e fazer cache Poisoning. Com estas duas vulnerabilidades é possível prever o TXID, crachar o nameserver autoritário e injectar o novo record sem que tenhamos o problema de runtime condition de quem responde primeiro, e partir daí sky is the limit.
As boas notícias são que existe uma nova versão do BIND que corrige o bug, ou para aqueles que não queiram ter esse trabalho de imediato, algo como esta regra numa firewall também protege:
iptables -A INPUT -p udp -m udp --dport 53 -m u32 --u32 0x1e>>0x1b&0xf=0x5 -j DROP
Ps: Dantes os demoninados geeks falavam sobre estas coisas agora tratam dos filhos e parece não haver tempo para mais nada a avaliar pelas minhas feeds, já os novos geeks preferem falar sobre funcionalidades do iPhone algo que não me motiva minimamente, chego à conclusão que tenho de fazer um filho quanto antes.