近日，金山云安全应急响应中心监控到DNS程序Unbound/BIND 等被曝出存在多个安全漏洞（CVE-2020-12663，CVE-2020-12662，CVE-2020-8616），漏洞被利用可导致 DNS公共服务受影响。

建议受影响的用户及时关注并采取安全措施进行加固，避免损失。

漏洞编号及受影响程序:

CVE-2020-12663/ CVE-2020-12662：Unbound DNS

CVE-2020-8616：BIND DNS

漏洞描述:

CVE-2020-12662/ CVE-2020-8616

研究人员发现， Unbound和其他DNS解析器存在一个问题：单个传入查询可能出现大量传出查询结果。这使得Unbound/BIND可以被用于拒绝服务攻击。研究人员将这种攻击称为NXNSattack。

CVE-2020-12663

当接受来自上游服务器的错误应答时，可能导致 Unbound 进入无限循环，从而无法响应。 使用--enable-debug 进行编译时， 可能触发断言导致 Unbound崩溃。

经分析， NXNSattack 攻击缺陷存在于 DNS 协议中，并且会影响所有递归 DNS 解析器。 它已经被研究人员证实会影响 NLnet Labs 的Unbound， BIND， Knot Resolver 和 PowerDNS 等DNS 软件，当前包括 Google， Microsoft， Cloudflare， Amazon，Oracle（DYN）， Verisign，IBM Quad9 和 ICANN 提供的 DNS 服务。

攻击原理

攻击者可以通过自己搭建的恶意权威DNS服务器，利用有漏洞的递归DNS服务器，向受害者的权威DNS服务器发起DDoS反射放大攻击，据分析，放大倍数极限可达1620倍。

影响版本:

Unbound 1.10.0 及之前版本

BIND 9.0.0 -> 9.11.18

BIND 9.12.0 -> 9.12.4-P2

BIND 9.14.0 -> 9.14.11

BIND 9.16.0 -> 9.16.2

BIND 支持预览版 9.9.3-S1 -> 9.11.18-S1

修复方案：

建议升级到安全版本，比如

Unbound 1.10.1 或更新版本

BIND 9.11.19

BIND 9.14.12

BIND 9.16.3

BIND 支持预览版 9.11.19-S1

参考链接:

Unbound官方通告：

https://www.nlnetlabs.nl/projects/unbound/security-advisories/

ISC BIND 官方通告

https://kb.isc.org/docs/cve-2020-8616

漏洞技术分析

http://www.nxnsattack.com/

北京金山云网络技术有限公司

2020/05/27