Alerte de vulnérabilité DNS – Déni de service par récursion infinie

Une sérieuse faille de sécurité du DNS a été publiée aujourd’hui. Elle affecte essentiellement les résolveurs, et touche plusieurs logiciels (au moins BIND, Unbound et PowerDNS). Elle permet de faire des dénis de service simplement, ce qui représente un risque avéré en termes d’exploitation.

Explications sur cette faille de sécurité du DNS

L’ANSSI (Agence nationale de la sécurité des systèmes d’information) a publié une analyse détaillée de la vulnérabilité. Cette vulnérabilité peut être exploitée pour effectuer des dénis de service des infrastructures DNS elles-mêmes, ainsi qu’être employée pour effectuer des attaques en dénis de service distribuées contre des tiers, avec une amplification de paquets significative.

L’article publié par l’ANSSI est disponible en ligne : http://www.ssi.gouv.fr/fr/menu/actualites/vulnerabilite-dns-critique-attaque-en-deni-de-service-par-recursion-infinie.html

La résolution DNS (noms vers IP, ou IP vers noms) est à la base de tous les services réseaux. C’est un composant d’infrastructure primordial à préserver, tant en termes de performance que de résilience.

Implémentations

Implémentations libres

 Implémentations propriétaires

Le service DNS inclus dans Windows Server n’est pas vulnérable. Il implémente déjà un mécanisme d’abandon d’une requête au bout d’un temps donné (timeout).

Les explications techniques sont détaillées dans un article TechNet :
http://blogs.technet.com/b/networking/archive/2014/12/15/handling-endless-delegation-chains-in-windows-dns-server.aspx

Conclusion – actions à mettre en oeuvre

Vous devez mettre à jour de manière urgente vos serveurs DNS sur votre infrastructure. Il est d’ailleurs préférable d’utiliser des résolveurs-cache locaux, plutôt que les serveurs de votre fournisseur d’accès internet, pour les raisons suivantes :

  • Délais de résolution plus courts (navigation web plus fluide)
  • Meilleure maîtrise des problématiques de sécurité
  • Implémentation de la non-répudiation des réponses (DNSSEC)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *