Ook CERT NL waarschuwt voor BIND lek
CERT NL schrijft:
"Uit een door SURFnet intern uitgevoerd onderzoekje is gebleken dat een
grote
hoeveelheid nameservers van SURFnet klanten versies van Bind
(http://www.isc.org/products/BIND/) draaien die beveiligingslekken
bevatten. Deze beveiligingslekken kunnen resulteren in een geslaagde "root
compromise" van uw nameserver. Gezien het belang van uw nameserver voor de
internet infrastructuur van uw instelling adviseren wij u om, indien uw
nameserver met behulp van Bind geimplementeerd is, zo snel mogelijk uw
nameserver te voorzien van de laatste versie van Bind.
Het CERT-Coordination Center heeft inmiddels melding gemaakt van een sterk
toegenomen aantal root compromises als gevolg van dit beveiligingslek:
http://www.cert.org/current/current_activity.html#bind
Gezien de voortvarendheid waarmee hackers doorgaans te werk gaan wanneer
een
exploit beschikbaar is kunt u er gevoeglijk van uit gaan dat uw nameserver,
indien niet de juiste versie gedraaid wordt, vroeg of laat gehacked zal
worden.
**Welke versies van bind zijn kwetsbaar?
Voor de 8.x serie geldt dat alle versies voor 8.2.2p5 kwetsbaar zijn. De
4.x serie is kwetsbaar voor versie 4.9.7.
**Snel de versie van "onze" bind bekijken?
Wanneer u gebruik maakt van het nslookup commando in een unix shell:
% nslookup
> server
> set type=txt
> set class=chaos
> version.bind.
Bijvoorbeeld:
> server ns1.surfnet.nl
Default Server: ns1.surfnet.nl
Address: 192.87.106.101
> set type=txt
> set class=chaos
> version.bind.
Server: ns1.surfnet.nl
Address: 192.87.106.101
VERSION.BIND text = "8.2.2-P5"
**Wat adviseert CERT-NL?
-upgrade zo snel mogelijk naar 8.2.2-P5
-indien dit (u gebruikt 4.x en de overgang naar 8.x kost op dit moment teveel tijd) voor u op dit moment niet mogelijk is dient u minimaal versie
4.9.7 te draaien.
De volledige tekst van de CERT-CC security advisory "CA-99-14 Multiple
Vulnerabilities in BIND" is te vinden op:
http://www.cert.org/advisories/CA-99-14-bind.html
Deze advisory bevat alle details over het beveiligingslek en de remedie. ".
Wat ik mis is het advies om als preventieve maatregel tegen de gevolgen van ongetwijfeld toekomstige lekken named als een aparte user (en dus NIET als root) en liefst nog chrooted te draaien.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!