SIDN: 1 op de 3 DNS-servers nog niet gepatcht

Wat aanvullende informatie:

SIDN heeft alleen gekeken naar Nederlandse resolvers. Daarvan is 1/3 nog kwetsbaar, omdat ze onvoldoende 'source-port randomization' (SPR) hebben. Dat kan ook het geval zijn bij gepatchte resolvers, bijvoorbeeld als ze achter een firewall zitten die de SPR weer ongedaan maakt.

De Nederlandse situatie is beter dan die van een aantal andere landen, maar ongeveer gelijk aan de situatie wereldwijd:

https://www.dns-oarc.net/files/sfaber/ephemerals.jpg

De 33% kwetsbare resolvers zijn gezamenlijk verantwoordelijk voor 18% van de DNS-queries. De overige queries komen van 'goede' resolvers.

Patchen is beslist niet alleen een zaak van ISP's, maar van iedereen met een internet-aansluiting en een eigen resolver (die soms goed verstopt kan zitten, in firewalls, mailservers en wat dies meer zij). Sterker nog, de meeste ISP's zijn heel verantwoordelijk bezig op dit vlak (een uitzondering daargelaten) en het probleem zit nu meer bij systeembeheerders in het MKB en particulieren met een eigen resolver.

En over het raadplegen van .nl vanuit Nederland in vergelijking tot het buitenland: tegenover elke Nederlandse query staan 17 queries uit het buitenland - dus je kan stellen dat .nl domeinen veel belangstelling genieten uit de rest van de wereld.

Als SIDN nou gewoon de betrokken providers mailt.
Wellicht zijn er een heleboel die denken dat ze safe zijn, maar het dus niet zijn?

SIDN hamert op de juistheid van DNS met hun DNS-checks, dan mogen ze dit ook wel als service aanbieden aan de provider en uiteindelijk de consument!

Zoals Marco al aangeeft, het probleem zit niet alleen bij resolvers van ISP's. 1/3 van de Nederlandse resolvers, dan heb je het over 5000+ servers. Het uitzoeken welk contactadres bij welk IP adres hoort duurt al weken.

Alle ISP's die bij Govcert zijn aangesloten hebben een melding gekregen dat ze bij SIDN kunnen opvragen welke nameservers uit hun netwerk nog kwetsbaar zijn. Daar wordt gretig gebruik van gemaakt.

ISP's die niet zijn aangesloten bij Govcert of die geen gebruik maken van de service, en die gezien het aantal queries en entropie een een risico vormen neemt SIDN zelf contact mee op.

Dus ja, die service wordt aangeboden door SIDN.

Maar SIDN kan echt niet alle MKB bedrijfjes met een MS Exchange server en DNS server die 20 queries per dag doen gaan contacteren om ze persoonlijke ondersteuning te bieden hoe ze hun firewall moeten aanpassen. Vandaar het persbericht met daarin een link hoe je zelf kunt controleren of je nog kwetsbaar bent of niet.

Waar kan ik de link vnden of mijn dns servers op mijn coloserver nog een patch moeten hebben?
Yum update heeft een update van named / bind gehad.
(Is een directadmin server)

DNS servers die bijvoorbeeld enkel vanaf 1 systeem (bijv. localhost) werken zijn relatief veilig en lopen relatief weinig risico. Het risico zou al beperkt zijn indien het aantal systemen dat gebruik kan/mag maken van de naamserver zeer sterk beperkt is volgens het PDF document waar naar gelinkt wordt.

In hoeverre is hier rekening mee gehouden binnen de stelling dat 1 op de 3 naamservers niet gepatched is EN gevaar van poisoning aanwezig is.

Mark,

De hack van Kaminsky wordt moeilijker naarmate een resolver meer entropie heeft. Entropie wil zeggen dat er meer variatie zit in Transaction-ID en de source-port vanwaar de resolver zijn query uitstuurt. Dit zijn truukjes, of lapmiddelen zo je wilt, om het kwaadwillenden moeilijker te maken om een vals antwoord terug te geven aan de resolver. Zonder die truukjes is een resolver binnen seconden om de tuin te leiden. Je denkt dan dat je naar www.postbank.nl gaat, maar komt dan in feite bij een fake-website uit.

Natuurlijk zijn de grootste resolvers (bij ISP's met veel klanten) een gewild doelwit, maar dat kunnen een klein advocatenkantoor, een school of een ministerie ook zijn. Ligt er maar net aan wat de bedoelingen van de hacker zijn. Iedereen zou dus zijn zaken op orde moeten hebben (de grotere jongens als eerste natuurlijk).

Nog eenmaal de getallen dan: het 1/3 deel van de resolvers dat nog extra kwetsbaar is (omdat ze veel te weinig entropie te zien geven), zijn gezamenlijk verantwoordelijk voor 18% van het Nederlandse DNS-verkeer. Dus ruwweg 1 op de 5 queries komt nog van een resolver die straks makkelijk 'om de tuin te leiden is'.

Marco,

Voor zover ik na kan gaan moet de aanvaller dan wel de mogelijkheid hebben om zowel de aanvraag naar de resolver te sturen als het gewenste antwoord. Dit kan dus betekenen dat er reeds een systeem gehacked moet zijn dat de aanvraag kan versturen en de reactie kan versturen.

Hoe groot wordt die kans als bijvoorbeeld enkel 1 of 2 systemen die resolver gebruiken/mogen gebruiken (IP basis, binnen hetzelfde subnet bijvoorbeeld) vraag ik mij dan af? In dergelijke gevallen is het aanpassen van een bestand op de computer misschien wel net zo efficient. Helaas worden dit soort beveiligingen in veel gevallen genegeerd bij het bepalen van het risico of er gebruik van gemaakt kan/zal worden.

Mark,

Als de aanvaller in staat is om een 'gespoofde' query naar de 'afgeschermde' resolver te sturen, dus met als afzenderadres een IP-adres van een van de twee systemen die de resolver mogen gebruiken, is hij met een beetje geluk al 'in business'.

Hackers zijn creatief. Neem bijvoorbeeld het volgende scenario:

- aanvaller stuurt email naar [email protected] waar een autoreply systeem draait.
- autoreply-systeem stuurt antwoord terug maar moet daarvoor een DNS lookup doen. Dit mag, omdat dit systeem 1 van de 2 systemen is die de 'afgeschermde' resolver mogen gebruiken.

En voila, de aanvaller is weer 'in business'...

Laat je fantasie de vrije loop. Je zult versteld staan hoe vaak DNS gebuikt wordt en hoeveel manieren er dus zijn om door ogenschijnlijk degelijke beveiligingen heen te breken. Tuurlijk, het laagsthangende fruit wordt als eerste geplukt - dat moge duidelijk zijn. Maar waan je niet te snel veilig.

Leestip:
http://www.waarschuwingsdienst.nl/render.html?it=1829