ICANN призывает к повсеместному внедрению DNSSEC. Обновление BIND с устранением уязвимостей
Организация ICANN, регулирующая вопросы, связанные с IP-адресами и доменными именами и интернете, выступила с инициативой повсеместного перехода на использование DNSSEC для всех доменных имен. ICANN отмечает наличие значительного риска для ключевых частей инфраструктуры DNS, вызванного увеличением числа атак на DNS-серверы и ростом связанной с DNS вредоносной активностью.
Последнее время фиксируется множество различных типов атак на DNS, от захвата доменов через перехват параметров учетной записи к интерфейсу регистратора или DNS-сервиса с целью изменения списка DNS-серверов или содержимого отдельных записей, до применение BGP для подмены DNS-серверов. Большая часть из атак, связанных с заменой привязки имени к IP, отравления DNS-кэша или MITM-подменой, можно было блокировать в случае использования DNSSEC, так как атакующие не могли бы сформировать корректную цифровую подпись без получения закрытого ключа, который хранится отдельно.
Для борьбы с участившимися атаками по перенаправлению трафика на уровне изменения параметров DNS организация ICANN выработала список рекомендаций по усилению защиты для регистраторов, владельцев доменов и всех связанных с DNS представителей индустрии. Одной из ключевых рекомендаций является применением DNSSEC для защиты целостности DNS зон при помощи цифровых подписей и включение валидации DNSSEC на стороне резолверов. При этом DNSSEC не выполняет шифрование трафика (для обеспечения конфиденциальности и защиты трафика от перехвата следует использовать DoH ("DNS over HTTPS") или DoT ("DNS over TLS")).
Также упомянуты такие общие рекомендации, как регулярная и оперативная установка обновлений с устранением уязвимостей, анализ логов на предмет неавторизированного доступа, рецензирование обоснованности предоставления сотрудникам повышенных полномочий таких как root-доступ, отслеживание истории всех изменений DNS-записей, использование надежных паролей, исключение передачи паролей в открытом виде и регулярная смена паролей. Для защиты почтовых отправлений рекомендуется использовать DMARC с SPF или DKIM записями. Для доступа к интерфейсам управления доменами рекомендовано применение двухфакторой аутентификации.
Дополнительно можно отметитьпубликацию корректирующих выпусков DNS-сервера BIND 9.11.5-P4 и 9.12.3-P4 c устранением трех уязвимостей:
- CVE-2018-5744 может использоваться для вызова отказа в обслуживании через создание условий для исчерпания доступной для процесса named памяти. Проблема вызвана некорректным освобождением памяти при обработке пакетов с определенным сочетанием опций EDNS. В случае если на уровне операционной системы размер выделяемой процессу named памяти не лимитирован, атака может использоваться для исчерпания всей доступной в системе свободной памяти.
- CVE-2019-6465 - пользователь может запросить и получить содержимое DNS-зоны не имея на это полномочий (без явного разрешения allow-transfer в ACL). Проблема проявляется только для зон DLZ (Dynamically Loadable Zones), доступных на запись.
- CVE-2018-5745 - возможность инициирование краха (assertion failure) процесса named при указании неподдерживаемого в BIND алгоритма ключей для DNSSEC при использовании режима "managed-keys". Уязвимость может быть эксплуатировано только сто стороны доверенного DNS-сервера, указанного администраторм в настройках в качестве сервера для валидации DNSSEC. Проблема опасна не с точки зрения проведения целенаправленной атаки, а с позиции непреднамеренного проявления, например, когда BIND на стороне резолвера собран без поддержки устаревших алгоритмов и настроен на использование для валидации DNSSEC сервера, который может использовать один из этих алгоритмов.