Une sérieuse faille de sécurité du DNS a été publiée aujourd’hui. Elle affecte essentiellement les résolveurs, et touche plusieurs logiciels (au moins BIND, Unbound et PowerDNS). Elle permet de faire des dénis de service simplement, ce qui représente un risque avéré en termes d’exploitation.

Explications sur cette faille de sécurité du DNS

L’ANSSI (Agence nationale de la sécurité des systèmes d’information) a publié une analyse détaillée de la vulnérabilité. Cette vulnérabilité peut être exploitée pour effectuer des dénis de service des infrastructures DNS elles-mêmes, ainsi qu’être employée pour effectuer des attaques en dénis de service distribuées contre des tiers, avec une amplification de paquets significative.

L’article publié par l’ANSSI est disponible en ligne : http://www.ssi.gouv.fr/fr/menu/actualites/vulnerabilite-dns-critique-attaque-en-deni-de-service-par-recursion-infinie.html

La résolution DNS (noms vers IP, ou IP vers noms) est à la base de tous les services réseaux. C’est un composant d’infrastructure primordial à préserver, tant en termes de performance que de résilience.

Implémentations

Implémentations libres

 Implémentations propriétaires

Le service DNS inclus dans Windows Server n’est pas vulnérable. Il implémente déjà un mécanisme d’abandon d’une requête au bout d’un temps donné (timeout).

Les explications techniques sont détaillées dans un article TechNet :
http://blogs.technet.com/b/networking/archive/2014/12/15/handling-endless-delegation-chains-in-windows-dns-server.aspx

Conclusion – actions à mettre en oeuvre

Vous devez mettre à jour de manière urgente vos serveurs DNS sur votre infrastructure. Il est d’ailleurs préférable d’utiliser des résolveurs-cache locaux, plutôt que les serveurs de votre fournisseur d’accès internet, pour les raisons suivantes :

  • Délais de résolution plus courts (navigation web plus fluide)
  • Meilleure maîtrise des problématiques de sécurité
  • Implémentation de la non-répudiation des réponses (DNSSEC)

guillaume-tournatLe DNS est un composant critique de votre infrastructure, parlons en ……

Article rédigé par Guillaume TOURNAT – Consultant Sécurité.

Vous vous sentez concerné par le contenu de cet article ? Vous voulez en savoir plus ? Postez votre commentaire !

 

Pour en savoir plus, nos précédentes alertes sécurité :