ICANN призывает к повсеместному внедрению DNSSEC. Обновление BIND с устранением уязвимостей

24 февраля 2019 года

Организация ICANN, регулирующая вопросы, связанные с IP-адресами и доменными именами в интернете, выступила с инициативой повсеместного перехода на использование DNSSEC для всех доменных имён. ICANN отмечает наличие значительного риска для ключевых частей инфраструктуры DNS, вызванного увеличением числа атак на DNS-серверы и ростом связанной с DNS вредоносной активностью.

Последнее время фиксируется множество различных типов атак на DNS, от захвата доменов через перехват параметров учётной записи к интерфейсу регистратора или DNS-сервиса, проводимых с целью изменения списка DNS-серверов или содержимого отдельных записей, до применения BGP для подмены DNS-серверов.

Большую часть из атак, связанных с заменой привязки имени к IP, отравлением DNS-кэша или MITM-подменой, можно было блокировать в случае использования DNSSEC, так как атакующие не могли бы сформировать корректную цифровую подпись без получения закрытого ключа, который хранится отдельно у владельца домена.

Для борьбы с участившимися атаками по перенаправлению трафика на уровне изменения параметров DNS организация ICANN выработала список рекомендаций по усилению защиты для регистраторов, владельцев доменов и всех связанных с DNS представителей индустрии. Одной из ключевых рекомендаций является применение DNSSEC для защиты целостности содержимого DNS зон и включение валидации DNSSEC на стороне резолверов. При этом DNSSEC не выполняет шифрование трафика - для обеспечения конфиденциальности и защиты трафика от перехвата следует использовать DoH ("DNS over HTTPS") или DoT (" DNS over TLS").

Также упомянуты такие общие рекомендации, как применение двухфакторой аутентификации для доступа к интерфейсам управления доменами, регулярная и оперативная установка обновлений с устранением уязвимостей, анализ логов на предмет неавторизированного доступа, рецензирование обоснованности предоставления сотрудникам повышенных полномочий (root-доступа), отслеживание истории всех изменений DNS-записей, использование надёжных паролей, исключение передачи паролей в открытом виде и регулярная смена паролей. Для защиты почтовых отправлений рекомендовано использовать DMARC с SPF или DKIM записями.

Дополнительно можно отметить публикацию корректирующих выпусков DNS-сервера BIND 9.11.5-P4 и 9.12.3-P4 c устранением трёх уязвимостей:

• CVE-2018-5744 может использоваться для вызова отказа в обслуживании через создание условий для исчерпания доступной для процесса named памяти. Проблема вызвана некорректным освобождением памяти при обработке пакетов с определённым сочетанием опций EDNS. В случае если на уровне операционной системы размер выделяемой процессу named памяти не лимитирован, атака может использоваться для исчерпания всей доступной в системе свободной памяти.
• CVE-2019-6465 - пользователь может запросить и получить содержимое DNS-зоны не имея на это полномочий (без явного разрешения allow-transfer в ACL). Проблема проявляется только для зон DLZ (Dynamically Loadable Zones), доступных на запись.
• CVE-2018-5745 - возможность инициирования краха (assertion failure) процесса named при указании неподдерживаемого в BIND алгоритма ключей DNSSEC при использовании режима "managed-keys". Уязвимость может быть эксплуатирована только со стороны доверенного DNS-сервера, указанного администратором в настройках в качестве сервера для валидации DNSSEC. Проблема опасна не столько атаками, сколько возможностью непреднамеренного проявления, например, когда BIND на стороне резолвера собран без поддержки устаревших алгоритмов и настроен на использование для валидации DNSSEC сервера, который может использовать один из этих алгоритмов.