Volgens overheidsinstantie GOVCERT is het zeer waarschijnlijk dat er binnenkort malware verschijnt om het ernstige DNS-lek in nameservers van bedrijven te misbruiken. Zo kan ongemerkt de interne caching nameserver van een organisatie besmet raken met foutieve gegevens. Daardoor is het mogelijk dat een medewerker op een website van een kwaadwillende belandt bij het bezoeken van de intranet pagina van de organisatie, zo wordt gewaarschuwd in een factsheet genaamd "De Kaminsky Code".
Binnen de IT-gemeenschap worden de ontwikkelingen betreffende het ernstige DNS-lek op de voet gevolgd, maar menig bestuurder en manager is onbekend met de details en impact. GOVCERT heeft daarom de factsheet ontwikkeld waarin de feiten rondom deze kwetsbaarheid op een rij worden gezet en geeft adviezen die kunnen helpen om de kans op misbruik van het lek te voorkomen of de impact ervan te beperken.
"Een aanvaller die misbruik weet te maken van deze kwetsbaarheid is in staat om het internetverkeer, bijvoorbeeld webverkeer, email en overige belangrijke netwerkdata, om te leiden voor iedereen die gebruik maakt van de aangevallen nameserver. Hoe meer mensen gebruik maken van een nameserver, hoe groter de impact."
In de sheet krijgen bedrijven het volgende advies:
De vraag is welke acties uw organisatie moet uitvoeren om de kans op misbruik van deze kwetsbaarheid te verkleinen. Onderstaand volgen de belangrijkste acties die u kunt overwegen:
1. Stap één is te inventariseren of uw organisatie een kwetsbare DNS configuratie kent. Dit kan op basis van de lijst met kwetsbare DNS implementaties die US-CERT heeft opgesteld.
2. Daarnaast bestaan inmiddels tools die beheerders in staat stellen om de kwetsbaarheid van de eigen DNS server te controleren. De meest praktische oplossing is daarbij de standaard OS-tooling dig of nslookup te gebruiken in combinatie met ‘testzones’ van het DNS Operations, Analysis, and Research Center (DNS-OARC). Instructies over het gebruik hiervan vindt u op de website van DNS-OARC3
3. Mocht uit bovenstaande tests blijken dat uw DNS installatie kwetsbaar is, dan is het zaak deze zo snel mogelijk te patchen. U kunt hiervoor de informatie uit GOVCERT.NL advisory 2008-219 of US-CERT advisory (VU#800113) gebruiken.
4. Mocht het niet mogelijk zijn om de DNS server te patchen, dan bestaat de mogelijkheid om gebruik te maken van een niet kwetsbare DNS server. Daarbij stuurt de kwetsbare DNS server alle verzoeken door naar een niet kwetsbare DNS server (DNS forwarding), bijvoorbeeld van een externe partij. De DNS-configuratie om dit te bereiken verschilt per type DNS server
5. Bij NAT/PAT issues bestaan er verschillende mogelijkheden om de kwetsbaarheid te omzeilen:
a. Maak gebruik van DNS forwarding naar een niet kwetsbare DNS server (zie 4).
b. Haal de DNS server achter de apparatuur vandaan die NAT/PAT toepast. Dit kan wel betekenen dat de DNS server niet meer beschermd is door een firewall en daardoor weer aan andere bedreigingen bloot komt te staan. Voorafgaand aan deze keuze is het wel van belang een grondige risicoanalyse uit te voeren.
c. Maak gebruik van Secure NAT/ port randomization, waarbij aan iedere sessie een willekeurig poortnummer wordt toegekend. Secure NAT is bijvoorbeeld geïmplementeerd in pf (OpenBSD) en ipchains (Linux).
d. Raadpleeg de leverancier van uw appliance en vraag om een oplossing.
6. Maak gebruik van DNSSEC. Het gebruik van DNSSEC kan misbruik van de kwetsbaarheid voorkomen. Dit is echter geen snelle en praktische oplossing en is meer bedoeld voor een betere beveiliging van DNS op de langere termijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.