Debilidades de BIND


 Debilidades de BIND: nxt, qinv e in.named permiten
 comprometer la cuenta de root inmediatamente
 

El paquete Berkeley Internet Name Domain (BIND), es la implementacion mas utilizada de servicio de nombres de dominio (DNS) -- el importante sistema que nos permite localizar los sistemas en Internet por su nombre (por ejemplo, www.sans.org) sin necesidad de utilizar direcciones IP -- lo que lo convierte en uno de los blancos favoritos para un ataque.  Es triste ver que, de acuerdo con una encuesta realizada a mediados de 1999, cerca del 50% de todos los servidores de DNS conectados a Internet utilizaban una version de BIND vulnerable. En un ataque tipico a BIND, los intrusos borran los archivos log del sistema e instalan herramientas que les permiten obtener privilegios de administrador.  A continuacion, compilan e instalan diversas utilidades de IRC y escaneo de redes, que las utilizaran para encontrar (dentro del rango de varias clases B de direcciones IP) otros sistemas que tambien utilicen versiones vulnerables de BIND.  En cuestion de minutos, habran utilizado el sistema comprometido para atacar cientos de sistemas remotos, obteniendo el control de los mismos.  Esto ilustra el caos que puede resultar de una simple vulnerabilidad en un software para la gestion de servicios universales en Internet, como puede ser el DNS.

Sistemas afectados
Diversos sistemas UNIX y Linux.

A fecha 22 de mayo de 2000, todas las versiones de BIND anteriores a la v.8.2.2 actualizacion 7 son vulnerables.

Registro CVE:
nxt CVE-1999-0833
qinv CVE-1999-0009

Otros registros CVE relacionados: CVE-1999-0835, CVE-1999-0848, CVE-1999-0849, CVE-1999-0851

Consejos para la resolucion del problema:

  • Desactivar el daemon BIND (named) en todos aquellos sistemas que no actuan como servidores de DNS.  Algunos expertos incluso recomiendan la desinstalacion del software de DNS.
     
  • En maquinas que actuan como servidores de DNS, actualizar a la ultima version (a 22 de mayo de 2000, la version mas reciente es la v.8.2.2 actualizacion 5).

    Puede seguir los consejos indicados en los siguientes avisos:

    Para la vulnerabilidad NXT: http://www.cert.org/advisories/CA-99-14-bind.html

    Para las vulnerabilidades QINV (pregunta inversa) y NAMED: http://www.cert.org/advisories/CA-98.05.bind_problems.html
    http://www.cert.org/summaries/CS-98.04.html
     
  • Ejecute BIND como un usuario sin privilegios como medida de proteccion ante futuros ataques.  (No obstante, solo los procesos que se ejecutan como root pueden ser configurados para utilizar los puertos inferiores al 1024 -un requisito del DNS.  Por tanto, debera configurar BIND para que cambie de usuario una vez se haya asociado al puerto).
     
  • Ejecute BIND en una estructura de directorios chroot() como medida de proteccion ante futuros ataques.

[Pagina Inicial] [Soluciones] [Socios] [Informes] [Ofertas de Empleo] [Contacto]

© Copyright The Sans Institute, 2000-2001
© Copyright 2000-2001 de la traduccion, Selesta Seguridad Informatica

Declaracion de privacidad