多个DNS程序存在安全漏洞
近日,金山云安全应急响应中心监控到DNS程序Unbound/BIND 等被曝出存在多个安全漏洞(CVE-2020-12663,CVE-2020-12662,CVE-2020-8616),漏洞被利用可导致 DNS公共服务受影响。
建议受影响的用户及时关注并采取安全措施进行加固,避免损失。
漏洞编号及受影响程序:
CVE-2020-12663/ CVE-2020-12662:Unbound DNS
CVE-2020-8616:BIND DNS
漏洞描述:
CVE-2020-12662/ CVE-2020-8616
研究人员发现, Unbound和其他DNS解析器存在一个问题:单个传入查询可能出现大量传出查询结果。这使得Unbound/BIND可以被用于拒绝服务攻击。研究人员将这种攻击称为NXNSattack。
CVE-2020-12663
当接受来自上游服务器的错误应答时,可能导致 Unbound 进入无限循环,从而无法响应。 使用--enable-debug 进行编译时, 可能触发断言导致 Unbound崩溃。
经分析, NXNSattack 攻击缺陷存在于 DNS 协议中,并且会影响所有递归 DNS 解析器。 它已经被研究人员证实会影响 NLnet Labs 的Unbound, BIND, Knot Resolver 和 PowerDNS 等DNS 软件,当前包括 Google, Microsoft, Cloudflare, Amazon,Oracle(DYN), Verisign,IBM Quad9 和 ICANN 提供的 DNS 服务。
攻击原理
攻击者可以通过自己搭建的恶意权威DNS服务器,利用有漏洞的递归DNS服务器,向受害者的权威DNS服务器发起DDoS反射放大攻击,据分析,放大倍数极限可达1620倍。
影响版本:
Unbound 1.10.0 及之前版本
BIND 9.0.0 -> 9.11.18
BIND 9.12.0 -> 9.12.4-P2
BIND 9.14.0 -> 9.14.11
BIND 9.16.0 -> 9.16.2
BIND 支持预览版 9.9.3-S1 -> 9.11.18-S1
修复方案:
建议升级到安全版本,比如
Unbound 1.10.1 或更新版本
BIND 9.11.19
BIND 9.14.12
BIND 9.16.3
BIND 支持预览版 9.11.19-S1
参考链接:
Unbound官方通告:
https://www.nlnetlabs.nl/projects/unbound/security-advisories/
ISC BIND 官方通告
https://kb.isc.org/docs/cve-2020-8616
漏洞技术分析
北京金山云网络技术有限公司
2020/05/27