Bind DNS Server yazılımındaki güvenlik açığı, saldırganların özel olarak hazırlanmış kötü amaçlı paketler göndererek DNS sunucularını çökertmesine izin verdi.
CVE-2023-5517 olarak tanımlanan bu kusur, belirli sorular etkinleştirildiğinde, belirli sorgular işlendiğinde, bir iddia hatası ile beklenmedik bir şekilde sonlandırılmasına neden olabilir.
Bind 9.18.24 sürüm notlarında açıklanan güvenlik açığı, saldırganların NXDomain-Redirect özelliği etkinleştirildiğinde iddia hatalarını tetikleyecek özel hazırlanmış sorgularla Bind yazılımını çalıştıran DNS sunucularını hedeflemelerine izin verdi.
.png
)
Bu güvenlik kusuru, başarılı bir saldırı DNS çözünürlük hizmetlerini bozabilir ve potansiyel olarak binlerce kullanıcıyı ve bağımlı sistemi etkileyebileceğinden, DNS altyapısı için önemli bir risk oluşturur.
İnternet Sistemleri Konsorsiyumu (ISC) güvenlik danışmanlığında, “Belirli sorgular, NXDomain-Regirect’in etkinleştirildiğinde bir iddia hatası ile çökmesine neden olabilir” dedi.
Bu güvenlik açığı özellikle ilgiliydi, çünkü uzaktan, kimlik doğrulanmamış saldırganların nispeten basit saldırılarla eleştirel DNS altyapısını düşürmesine izin verdi.
DNS, insan tarafından okunabilir alan adlarını IP adreslerine çevirerek İnternet’in telefon defteri olarak hizmet eder.
Bu hizmette herhangi bir kesintinin web sitesi kullanılabilirliği, e -posta teslimi ve diğer kritik internet hizmetleri üzerinde yaygın etkileri olabilir.
Çoklu Güvenlik Kusurları
NXDomain-Regrect güvenlik açığı izole bir sorun değildi. ISC, son sürümlerde diğer kritik DNS güvenlik açıklarını ele almıştır.
Bir başka önemli kusur (CVE-2023-5679), sunucuyu bir iddia hatası ile benzer şekilde çökertebilecek “DNS64 ve Serve-Stale arasında kötü bir etkileşim” içeriyordu.
Daha yakın zamanlarda, ISC bir güvenlik açığı (CVE-2024-0760) düzeltti; burada “TCP üzerinden birçok sorgu gönderen ancak yanıtları asla okuyan kötü niyetli bir DNS istemcisi, bir sunucunun diğer istemciler için yavaş yanıt vermesine veya hiç yanıt vermesine neden olabilir”.
Bu teknik, saldırganların DNS sunucularına karşı hizmet reddi saldırıları gerçekleştirmesine izin verdi.
Ayrıca kuruluş, yanıtları beklemeden istek gönderen müşterilerle uğraşırken sunucuları ezebilecek DNS-HTTPS sel sorunlarına (CVE-2024-12705) hitap etti.
Öneriler ve azaltma adımları
ISC, en kısa sürede en son sürüme bağlama güncellemesini çalıştıran kuruluşların en kısa sürede önerir.
Sabit sürümler, iddia hatası güvenlik açıkları için Bind 9.18.24 veya üstünü içerir ve DNS-HTTPS sel sorunları için 9.18.33 veya üstünü bağlar.
Hemen güncellenemeyen kuruluşlar için, güvenilmeyen kaynaklardan DNS sorgu trafiğini sınırlamak için ağ filtreleme uygulamak biraz koruma sağlayabilir.
Ek olarak, NXDomain-Regrect özelliğinin devre dışı bırakılması, yama yapana kadar spesifik CVE-2023-5517 güvenlik açığını azaltabilir.
DNS saldırıları sofistike olarak gelişmeye devam ettikçe, DNS altyapısı için düzenli yama programlarının sürdürülmesi organizasyonel güvenlik için çok önemli hale geldi.
ISC, yeni keşfedilen güvenlik açıklarını ele alan güncellemeleri yayınlamaya devam ediyor, en son sürüm Bind 9.18.371.
Güvenlik uzmanları, genel DNS altyapısı güvenlik duruşunu geliştirmek için DNSSEC doğrulama uygulamasını ve ISC’nin DNS sunucu yapılandırması için en iyi uygulamalarını takip etmenizi önerir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!