کمیته رکن چهارم – اخیراً برای نرمافزارهای مربوط به سرویس DNS با نامهای BIND و Knot بهروزرسانیهایی منتشر شده که یک آسیبپذیری حیاتی و بالقوه را برطرف کرده است. گفته میشود مهاجمان میتوانستند با بهرهبرداری از این آسیبپذیری، سازوکارهای احراز هویت را در این نرمافزارها دور بزنند.
این آسیبپذیری مربوط به تراکنش SIGnature است که در پروتکل DNS بهعنوان سازوکاری برای احراز هویت مورد استفاده قرار میگیرد. این پروتکل بهعنوان سازوکاری برای احراز هویت در بهروزرسانیهای پویای DNS و عملیات انتقال منطقه مورد استفاده قرار میگیرد. مهاجمی که بتواند با یکی از کارگزارهای معتبر ارتباط داشته و از کلیدهای نام معتبر آن مطلع باشد، میتواند از این آسیبپذیری برای دور زدن احراز هویت TSIG و برای اجرای بهروزرسانیها و انتقال منطقههای غیرمجاز بهرهبرداری کند.
در مشاورهنامهی این آسیبپذیری آمده است: «این آسیبپذیری به این دلیل وجود دارد که زمانیکه کارگزار درخواستی را با مُهرزمانیِ TSIG خارج از پنجرهی زمانی دریافت میکند، همچنان آن را با استفاده از ارقامی که در پیشوند وجود دارد و نامعتبر و اندازهی آن نامناسب است، امضاء میکند. این مسئله به مهاجم اجازه میدهد تا امضای یک درخواست معتبر را جعل کرده و احراز هویت TSIG را دور بزند.»
انتقال منطقهی DNS فرآیندی است که در آن یک کارگزار DNS رونویسی از پایگاه دادهی خود را برای کارگزار دیگر ارسال میکند. دسترسی به پایگاه دادهی یک کارگزار DNS به مهاجمان کمک میکند تا در ادامه بتوانند حملات جعل DNS را با موفقیت بیشتری انجام دهند. کنسرسیوم سامانههای اینترنتی این مسئله را در قالب دو آسیبپذیریِ جداگانه در نظر گرفته است. یکی از این آسیبپذیریها با درجهی اهمیت متوسط، به مهاجم اجازهی انتقال غیرمجاز منطقه را میدهد و شناسهی آن CVE-۲۰۱۷-۳۱۴۲ است. یکی دیگر از آسیبپذیریها نیز با درجهی اهمیت بالا، برای بهروزرسانیهای پویای غیرمجاز مورد استفاده قرار گرفته و شناسهی آن CVE-۲۰۱۷-۳۱۴۳ است.
این آسیبپذیریها این هفته در نرمافزار BIND و هفتهی قبل در نرمافزار Knot وصله شده است. احراز هویت TSIG توسط کارگزارهای DNS دیگر نیز مانند PowerDNS و NSD مورد استفاده قرار گرفته است ولی توسعهدهندگان این نرمافزارها تاکنون مشاورهنامهای را منتشر نکردهاند تا اعلام کنند که آیا نرمافزار آنها نیز تحت تأثیر این آسیبپذیری قرار گرفته است یا خیر.
