Vulnérabilité du logiciel BIND
Date : 11 Juillet 2005
A la fin du mois de janvier, plusieurs vulnérabilités ont été découvertes sur les serveurs BIND 4 et 8 (cf. l'avis CERT-IST/AV-2001.025). Depuis cette date, plusieurs événements font penser que des tentatives d'exploitation de ces vulnérabilités sont en cours :
- Augmentation des scans de serveurs BIND,
- Apparition de programmes d'exploitation de ces vulnérabilités,
- Report d'intrusions probablement liées à BIND.
Cette tendance, déjà annoncée dans l'éditorial du bulletin de janvier (n°40), s'est donc renforcée au cours du mois écoulé. De ce fait, le CERT-IST a émis le 26/02 une alerte sur ce problème (CERT-IST/AL-2001.003).
Scans des serveurs BIND
Dès la publication des vulnérabilités (fin janvier), une augmentation significative des scans des serveurs DNS a été notée. A titre d'exemple, le CERT-RENATER a ainsi signalé que ce type de scan est progressivement passé de son habituelle troisième place (dans l'ordre des services les plus scannés) pour atteindre en semaine 8 la première place du classement.
Il a également été observé par la communauté du FIRST que certains de ces scans étaient ciblés sur l'identification de la version des serveurs BIND. Dans ce domaine, au delà des requêtes classiques de type "version.bind" (moyen direct d'interroger un serveur BIND pour en connaître la version), des moyens plus détournés d'identification ont fait leur apparition. Ainsi, si l'on adresse à un serveur BIND-9.1 la requête "authors.bind", celui-ci répond en listant les auteurs et contributeurs de BIND, ce qui constitue un moyen détourné d'identifier sa version. Ce type de scans ciblés (recherche de versions particulières de BIND) est souvent le signe précurseur d'attaques.
Programmes d'exploitation
Immédiatement après diffusion des vulnérabilités, un programme d'attaque de serveurs BIND 8.2 a été publié sur la liste Bugtraq. Il s'est avéré par la suite qu'il s'agissait d'une fausse "exploit", qui contenait en dur l'adresse d'un site NAI, et qui avait probablement été diffusé pour provoquer un engorgement de ce serveur.
Depuis, de nombreuses rumeurs circulent à propos de l'existence de nouveaux programmes d'attaques (il en existerait six). Nous n'avons pas d'information tangible pour confirmer ce chiffre, mais par contre, un nouveau programme d'attaque a publiquement été posté le 23/02. Du fait du type de diffusion, le risque d'attaque contre des serveurs BIND est maintenant fort.
Intrusions liées à BIND
En parallèle de cette montée en puissance du risque d'attaque, quelques sites ont aussi signalé des cas d'intrusions attribuées à des serveurs BIND vulnérables. Dans un cas, il a même été noté, qu'une fois l'intrusion réussie, le pirate avait remplacé le serveur BIND par une version 8.2.3 (version non vulnérable). Cette technique (consistant à corriger les failles d'un système après une intrusion réussie) est de plus en plus courante et a probablement pour objectif de protéger une machine "gagnée" par le pirate contre les attaques des autres pirates. Le fait qu'elle soit utilisée dans le cas de la vulnérabilité BIND montre cependant que cette vulnérabilité est maintenant bien connue de ce milieu, et qu'il est dangereux pour un pirate de laisser cette vulnérabilité en place.
Conclusions
Les différents symptômes observés montrent bien la montée progressive en puissance du risque d'attaque BIND. A la vue de ces éléments, il se pourrait même que les vulnérabilités de BIND deviennent aussi populaires que celles déjà largement exploitées sur "rpc.statd", "wu-ftpd" et "LPRng" (cf. le ver "Ramen").
Dans ces conditions, et comme cela est indiqué dans l'alerte CERT-IST/AL-2001.003, il est nécessaire que tous les sites concernés mettent à niveau leurs serveurs BIND.