En sårbarhet i DNS-programvaren (Domain Name System) BIND blir utnyttet i faktiske tjenestenektangrep som kan få DNS-programvaren til å krasje. Resultatet er at brukere av den angrepne DNS-serveren ikke vil få kontakt med nettsteder og mange andre ressurser på internett.
Dette skriver Daniel Cid i sikkerhetsselskapet Sucuri i et blogginnlegg.
Les også: Berømmer norske registrarer for sikkerhetsløft
Utbredt
BIND er blant den mest brukte programvaren for å tilby DNS-tjenester. Brede angrep mot BIND-baserte DNS-servere kan dermed berøre svært mange.
Allerede i forrige uke ble det utgitt sikkerhetsoppdateringer til BIND, hvor den aktuelle sårbarheten, CVE-2015-5477, blir fjernet. Men langt fra alle installerer slike oppdateringer umiddelbart.
Kunne ha vært unngått: Lærdom fra tidenes DDoS-angrep i Norge
TKEY-forespørsler
Ifølge Cid skyldes sårbarheten en feil i måten BIND håndterer TKEY-forespørsler. Dette fører til at BIND-daemonen (named) avsluttes. Sårbarheten kan utløses ved hjelp av én enkelt UDP-pakke (User Datagram Protocol).
Det er mulig for administratorer å se forsøk på angrep ved å søke etter TKEY i loggen til DNS-serverprogramvaren, dersom logging av spørringer er aktivert. Ifølge Cid er dette TKEY-forespørsler såpass uvanlige at tilfeller av dette i loggen er temmelig sikre bevis på angrepsforsøk.
Nasjonal sikkerhetsmyndighet: Vil stanse hackerangrep med DNS
