Yaygın olarak kullanılan bir DNS yük dengeleyicisi ve güvenlik aracı olan PowerDNS DNSDIST’DE, uzak saldırganların DNS-HTTPS (DOH) uygulamasındaki kusurlardan yararlanarak hizmet reddi (DOS) koşullarını tetiklemesini sağlar.
PowerDNS Güvenlik Danışmanlığı’nda açıklanan güvenlik açığı, DOH işleme için NGHTTP2 kütüphanesini kullanacak şekilde yapılandırıldığında DNSDIST sürümlerini 1.9.0 ila 1.9.8 etkiler.
Başarılı sömürü, DNSDIST hizmetini, bağımlı sistemler için DNS çözünürlüğünü ortadan kaldırarak çiftsiz bir bellek yolsuzluk etkinliği ile çöker.
.png
)
NGHTTP2 DOH aracılığıyla DNSDIST’DE HISTE-TEZREKSİYEL DOS
Güvenlik açığı, kötü bir şekilde hazırlanmış DOH değişimlerini ele alırken uygunsuz bellek yönetiminden kaynaklanmaktadır.
Bu kusurdan yararlanan saldırganlar, DNSDIST’in aynı bellek bölgesini iki kez serbest bırakmaya çalışmasına neden olan özel olarak yapılandırılmış HTTP/2 istekleri gönderir.
Bu, bir segmentasyon hatasını tetikler ve DNSDIST sürecini tamamen sonlandırır. Saldırı kimlik doğrulaması gerektirmez ve ağ üzerinde uzaktan yürütülebilir ve 7.5 CVSS v3.1 puanı kazanır.
Özellikle, sorun yalnızca DNSDIST 1.9.0’dan bu yana varsayılan bir ayar olan DOH trafiği için NGHTTP2 sağlayıcısını kullanan konfigürasyonlarda kendini gösterir.
Eski H2O kütüphanesine veya daha önceki DNSDIST sürümlerine dayanan sistemler etkilenmez.
PowerDNS mühendisleri, NGHTTP2’nin istek işleme ve DNSDIST’in bazı HTTP/2 çerçeve dizileri tarafından daha da kötüleşen dahili kaynak yönetimi mantığı arasındaki bir kenar-dava etkileşimine dayanan temel nedenleri izledi.
DNSDIST ile, özyinelemeli çözücü çiftlikleri, yetkili DNS kümeleri ve DDOS korumalı ağlar da dahil olmak üzere kritik altyapı rollerinde konuşlandırılmıştır-bu kırılganlık önemli operasyonel riskler oluşturmaktadır.
Patched bir örnek uzun süreli kesintilere maruz kalabilir, çünkü çökmüş hizmeti yeniden başlatma, bir sonraki saldırıya kadar yalnızca geçici rahatlama sağlar
Bu kırılganlığın keşfi, konuyu Powerdns’in dikkatine çeken Charles Howes’e yatırılıyor.
Sabit bir versiyonun yayınlanmasında PowerDNS’den gelen hızlı yanıt, kritik altyapı yazılımının güvenliğini korumada toplumun katılımının önemini göstermektedir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Powerdns DNSDIST Sürümleri 1.9.0 ila 1.9.8 (1.9.9’da sabit) |
| Darbe | Hizmet Reddi (DOS) |
| Önkoşuldan istismar | DNSDIST, NGHTTP2 sağlayıcısını kullanarak DOH sağlayacak şekilde yapılandırılmalıdır. |
| CVSS 3.1 puanı | 7.5 (yüksek) |
Geçici çözüm
Bu güvenlik açığını azaltmak için kullanıcılara DNSDIST’in Yamalı Sürüm 1.9.9’a yükseltmeleri tavsiye edilir.
Hemen yükseltemeyenler için, geçici bir geçici çözüm, güncelleme uygulanana kadar H2O sağlayıcısına geçmektir.
Bu, DOH hizmetlerinin güvenlik açığının kullanılmasını önlerken işlevsel kalmasını sağlar. PowerDNS DNSDIST güvenlik açığı, özellikle DNS hizmetleri gibi kritik altyapı bileşenleri için yazılımı güncel tutmanın önemini vurgulamaktadır.
DOH kullanımı büyümeye devam ettikçe, bu hizmetlerin güvenliğinin, aksamaları önlemek ve ağ bütünlüğünü korumak için çok önemlidir.
Kullanıcılar yamayı uygulamaya veya potansiyel saldırılara karşı korumak için geçici çözümü uygulamaya teşvik edilir.
SOC ve DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.