Điểm yếu nghiêm trọng liên quan đến hệ thống DNS toàn cầu

Một thông báo khẩn từ Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), trực thuộc Bộ Thông tin – Truyền thông cho biết, đang xuất hiện một nguy cơ lớn đối với hệ thống máy chủ phân giải tên miền (DNS Server) của Việt Nam trên diện rộng trong vài ngày tới
Nội dung trích xuất từ tài liệu:
Điểm yếu nghiêm trọng liên quan đến hệ thống DNS toàn cầuĐiểm yếu nghiêm trọng liên quan đến hệ thống DNS toàn cầuNguồn:quantrimang.comMột thông báo khẩn từ Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam(VNCERT), trực thuộc Bộ Thông tin – Truyền thông cho biết, đang xuấthiện một nguy cơ lớn đối với hệ thống máy chủ phân giải tên miền (DNSServer) của Việt Nam trên diện rộng trong vài ngày tới.VNCERT cho biết, qua công tác theo dõi tình hình an toàn mạng, ngày 9/7/2008,VNCERT đã nhận thấy điểm yếu trong hệ thống phân giải tên miền toàn cầu(DNS) do chuyên gia Dan Kaminsky phát hiện.Trung tâm này đã gửi công văn 163/VNCERT-NV để cảnh báo cho hơn 150 tổchức có liên quan trong nước.Trong thời điểm hiện tại, VNCERT nhận thấy mối nguy này tiếp tục gia tăng vànhiều khả năng sẽ xuất hiện tấn công trên diện rộng trong vài ngày tới.Tin tặc có thể dễ dàng tấn công máy chủ phân giải tên miền (DNS server) có cấuhình không phù hợp bất kỳ (ước tính trên 95% DNS server của Việt Nam mắcphải điểm yếu này) và hướng số lượng lớn người dùng vào các website giả mạo,chứa mã độc...Trung tâm này cũng cho biết các chuyên gia và tổ chức hoạt động trong lĩnh vựcan toàn thông tin trên toàn cầu đang tập trung nỗ lực để cảnh báo, cung cấp cácbản vá và chuẩn bị cho các trường hợp khẩn cấp có thể xảy ra liên quan đếnđiểm yếu này.Chi tiết nội dung cảnh báo trên trang web của Trung tâm VNCERT như sau:Nhiều hệ thống DNS đang hoạt động chấp nhận xử lý đồng thời nhiều yêu cầutruy vấn (query) của một tên miền duy nhất, đặc điểm này cho phép tin tặc dễdàng tấn công vào các DNS server có chức năng hỏi hộ (recursive) và lưu giữkết quả (caching) với mục đích làm thay đổi ánh xạ tên miền và hướng ngườidùng đến một địa chỉ IP bất hợp lệ tuỳ ý.1. Mô tảSơ đồ tổng quan kịch bản tấn công:Đối tượng tin tặc nhắm đến là các DNS server có các đặc điểm sau đây: Phục vụ nhiều người dùng. • Có chức năng hỏi hộ (recursive) và lưu giữ kết quả (caching). • Có điểm yếu: chấp nhận xử lý đồng thời nhiều yêu cầu truy vấn (query) • của một tên miền duy nhất. Sử dụng 1 port nguồn (UDP hay TCP) cố định và duy nhất cho tất cả các • request. (Tuỳ chọn) không kiểm tra chặt chẽ tính chính xác và logic của phần thông • tin thêm (addition records) trong các DNS reply trả về.Ghi chú: khảo sát sơ bộ cho thấy hầu hết các DNS server đang hoạt động tạiViệt Nam đang có các đặc điểm này!Kịch bản tấn công:- Tin tặc gửi đồng loạt Q request về một tên miền bất kỳ (trong hình trên làwww.abc.vn) cho DNS server có điểm yếu (trong hình trên là máy chủ DNS RA).- Ngay sau đó sẽ đồng loạt gửi R reply giả mạo trả lời từ máy chủ AA về máychủ RA với các giá trị định danh QID thăm dò là ngẫu nhiên.- Nếu QID trong một reply giả mạo được chấp nhận (khả năng các nhà toán họctính toán được là rất cao, xin xem thêm phần tính toán thống kê bên dưới) RA sẽcập nhật vào cache và từ đó về sau sẽ trả lời tên miền www.abc.vn có địa chỉ là169.15.X.X là địa chỉ mà tin tặc muốn người dùng hướng vào (địa chỉ đúng là203.162.X.X).Tính toán thống kê:Tính toán của Vagner Sacramento (Department of Computer Science andApplied Mathematics / Federal University of Rio Grande do Norte) tại địa chỉhttp://www.kb.cert.org/vuls/id/457875 được tóm tắt trong bảng sau: Số lượng request Số lượng gói tin giả Máy chủ DNS cần gửi đồng thời mạo tin tặc cần gửi (Q) (R) Không random port 1 32.7 ngàn (215) Không random port 4 10.4 ngàn Không random port 200 427 Không random port Không giới hạn 426 Có random port 1 2.1 tỷ (231) Có random port 4 683 triệu Có random port 200 15 triệu Có random port Không giới hạn 109 ngàn Bảng tính toán: Số lượng gói tin (giả mạo reply từ AA) mà tin tặc cần gửi (giá trị R trong hình minh hoạ trên) để có xác xuất thành công 50%Như vậy chỉ cần gửi Q=200 request đồng thời về một tên miền và gửiR=427 reply giả mạo thì tin tặc có khả năng dự đoán QID thành công là50%.2. Tác hạiHacker có thể lợi dụng yếu điểm này để triển khai tấn công quy mô lớn và toàndiện vào các hệ thống DNS gây tác hại trực tiếp đến người dùng internet, pháttán mã độc, lừa đảo. Thông qua việc hướng số lượng lớn người dùng vào mộtwebsite để phát động tấn công DDOS quy mô lớn vào các hệ thống thông tin bấtkỳ.3. Giải phápa) Dành cho các ISP, hosting provider, cá nhân-tổ chức sở hữu và quản lýmáy chủ DNSTheo dõi và cập nhật ngay lập tức các bản vá dịch vụ DNS đang sử dụng trêncác DNS server.Kiểm tra, rà soát và k ...