Une faille BIND ouvre la voie aux attaques DDoS des serveurs DNS

La société Sucuri alerte sur l’exploitation en cours de serveurs DNS sous BIND bien que la vulnérabilité ait été récemment corrigée.

« Nous pouvons confirmer que les attaques ont commencé. » Les attaques qu’évoque la firme de sécurité Sucuri, sont celles des serveurs DNS (Domain Name System ) orchestrés par BIND (Berkeley Internet Name Domain), standard de facto des logiciels permettant de faire correspondre les adresses Internet en clair avec leurs adresse IP. Et s’attaquer aux serveurs DNS, c’est s’attaquer aux fondements de l’Internet. « DNS est une des parties les plus critiques de l’infrastructure d’Internet, alors si votre DNS tombe cela signifie que vos emails, HTTP et tous les autres services ne seront pas disponibles », notait Daniel Cid, co-fondateur et CTO de Sucuri sur son blog le 2 août dernier.

Une vulnérabilité corrigée

L’origine des attaques tient dans une vulnérabilité (CVE-2015-5477) qui permet à un attaquant de crasher le daemon BIND et d’arrêter ainsi le service de DNS. Des attaques de type DDoS (déni de service distribué) qui « se produisent en raison d’une erreur dans la façon BIND gère les requêtes TKEY, qui, avec un seul paquet UDP peuvent déclencher un échec d’assertion nécessaire, forçant le daemon DNS à s’arrêter », indique Sucuri. L’ISC (Internet Systems Consortium) a proposé un correctif pour combler la faille le 28 juillet dernier. Lequel a depuis été intégré dans les principales distributions Linux (RedHat, Ubuntu, CentOS notamment). Une simple mise à jour du noyau et la relance du service BIND devrait résoudre le problème. Il n’y a pas d’autre alternative pour éviter les attaques.

Mais visiblement, tous les administrateurs réseaux n’ont pas pris cette peine.Si les attaques ont démarrés, Sucuri n’en indique néanmoins pas l’importance. Selon les déclarations de Daniel Cid à la presse américaine, deux sites web très fréquentés et clients de Sucuri auraient subi des attaques DDoS de leurs serveurs DNS à cause de la faille.


Lire également
En 10 ans, les attaques DDoS se sont fortement amplifiées
Des hackers combinent Elasticsearch et Cloud pour lancer des attaques DDoS
Cloud : Rackspace KO par une attaque DDoS sur ses serveurs DNS