BIND9处理递归响应不当远程拒绝服务漏洞技术分析与防护方案

ISC发布BIND9 DoS漏洞CVE-2016-8864,该漏洞出现在db.c 或 resolver.c 模块中,可能导致处理递归请求过程中出现问题,最终导致服务器停止响应。

2016年11月1日(当地时间),ISC互联网系统协会(Internet Systems Consortium)官网发布了一个关于BIND 9项目的安全公告,公布了编号为CVE-2016-8864的漏洞。BIND 9服务器在处理包含DNAME记录的递归查询响应时,会在resolver.c或db.c的代码中遇到断言错误,程序随即会停止运行。该漏洞允许攻击者远程发起拒绝服务攻击。详情请见如下链接:

https://kb.isc.org/article/AA-01434

什么是BIND (引用自《维基百科》)

BIND(Berkeley Internet Name Daemon)是现今互联网上最常使用的DNS服务器软件,使用BIND作为服务器软件的DNS服务器约占所有DNS服务器的九成。BIND现在由互联网系统协会(Internet Systems Consortium)负责开发与维护。

影响的版本

  • BIND 9 version 9.0.x -> 9.8.x
  • BIND 9 version 9.9.0 -> 9.9.9-P3
  • BIND 9 version 9.9.3-S1 -> 9.9.9-S5
  • BIND 9 version 9.10.0 -> 9.10.4-P3
  • BIND 9 version 9.11.0

不受影响的版本

  • BIND 9 version 9.9.9-P4
  • BIND 9 version 9.10.4-P4
  • BIND 9 version 9.11.0-P1

另外,不受影响的版本中还包括一个专门为符合条件的客户所提供的预览版:

  • BIND 9 version 9.9.9-S6

绿盟威胁情报中心NTI对BIND9处理递归响应不当远程拒绝服务漏洞全球影响分析

全球漏洞分布情况

截止到今天,我们统计全球范围内存在此安全漏洞的设备数量就已经达到70,392个。

这些受此漏洞影响的设备数量最多的国家是美国,占全部的43.13%,其次是俄罗斯联邦,占10.7%,第三是中国,占8.58%,剩余国家分别是印度、瑞典、印度尼西亚、巴西、德国、乌克兰、保加利亚等。

Top20国家的受此漏洞影响的设备数量占全球总数的92.83%,其余7.17%的设备分散于其他国家和地区内。

图1 受此漏洞影响的设备全球分布图

图2 全球受此漏洞影响的分布国家TOP20占比

图3 G20成员国受影响暴露面

中国地区受此漏洞影响的设备分布情况

中国各省份及地区分布的受此漏洞影响的设备总数量达6039个。其中台湾地区所占数量最多,有1752台设备受影响,其次是北京、山东、黑龙江等地区。

TOP10省份的受此漏洞影响的设备数量占中国总数的94.04%。其余5.96%的数量分散于其他省份或地区内。

图4 受此漏洞影响的设备中国各省份分布图

图5 受此漏洞影响的设备中国各城市分布图

图6 受此漏洞影响的设备中国TOP10省份排名

漏洞分析

漏洞成因

当BIND开启递归查询,其在处理包含特殊DNAME请求的递归响应时,逻辑处理不当,会遇到断言错误,导致拒绝服务。发生的断言错误分别位于文件/lib/dns/resolver.c和/lib/dns/db.c中

代码修复

在resolver.c中调整了设置延时验证选项的时机,并在调用db.c的dns_db_attach函数之前增加了验证的逻辑。修复详情见附件下载。

官方解决方案

官方已经发布了版本更新,建议用户升级到最新版本,下载页面如下:

https://www.isc.org/downloads/bind/

技术防护方案

产品类

远程产品

使用SaaS绿盟云紧急漏洞在线检测服务进行免费检测,链接地址如下:

https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?service_id=1026

本地产品

使用绿盟科技的远程评估系统RSAS进行安全评估。

已经购买了绿盟科技远程评估产品服务的客户可以通过产品升级进行防护。

服务类

短期服务:绿盟科技工程师现场处理(渗透测试+应急响应)。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。

中期服务:提供 3-6个月的风险监控与巡检服务。根除风险,确保事件不复发。

长期服务:基于行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务)。

 

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

如果您需要了解更多内容,可以
加入QQ群:486207500、570982169
直接询问:010-68438880-8669

Spread the word. Share this post!

Meet The Author

Leave Comment