Les cartes viennent d'être quelque peu re-distribuées : Comme évoqué dans mon bulletin d'hier, le framework Metasploit intègre désormais le module permettant d'exploiter les serveurs DNS vulnérables à la faille de poisoning.
Il n'est pas (jamais) trop tard pour bien faire : Patchez vos serveurs DNS ou re-configurez les pour forwarder les demandes de résolution vers des serveurs DNS sécurisés.
Les cibles d'attaques sur internet étant très nombreuses, un attaquant "opportuniste" aura tendance à se tourner sur les "quick wins" en priorité (et je ne parle pas des "scripts kiddies").
C'est pourquoi je vous propose 4 recommandations supplémentaires (certaines très classiques, pas de "breaking news" je vous rassure).
1) Séparez les fonctions de vos serveurs DNS : Faites qu'un serveur DNS ne soit pas autoritaire et resolver à la fois : Cela permettra d'éviter que vos zones "primaires/autoritaires" soit elles-aussi mises à mal.
2) Limitez l'accès à vos resolvers : Ils ne doivent répondre qu'aux requêtes en provenance de vos clients et uniquement d'eux. Cad que vous ne devez pas être en "open resolvers" comme il y en a beaucoup (trop) sur Internet.
3) Mettez en place des mécanismes de supervision (lisez la doc de votre serveurs DNS, certains d'entre eux proposent des fonctions très intéressantes), mettez à jour vos IDS/IPS afin d'utiliser les signatures de détection d'attaques qui commencent à émerger
4) .... En cas de doute ou même périodiquement, vous pouvez toujours "flusher" le cache de vos serveurs DNS afin de faire disparaitre toute trace de poisoning...
Pour ceux qui souhaitent en savoir plus, les deux articles suivants décrivent plus en détail ce qui est disponible dans Metasploit :
- ZDNet, ZeroDay Blog, Attack code published for DNS flaw, July 23, 2008
- Wired, DNS Exploit in the Wild -- Update: 2nd More Serious Exploit Released, July 23, 2008
Pour finir sur une note positive, avez-vous vu que le processus d'adoption de DNSSEC pour la zone ".org" a été récemment annoncé ? Pour en suivre le déploiement, je vous invite à consulter un site dédié au sujet.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens