آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد::FUM CERT Lab. (Computer Emergency Response Team)

مشکل DoS در لینوکس به‌واسطه آسیب‌پذیری systemd

عنوانمشکل DoS در لینوکس به‌واسطه آسیب‌پذیری systemd
گروه اصلیOther
شرح خبر


لینوکس از آسیب‌پذیری systemd (سیستم و مدیریت خدمات - System and Service Manager) که منجر به عدم ارائه خدمات (Dos) در بسیاری از نسخه‌های مبتنی بر لینوکس شده است، رنج می‌برد.
مهاجم یک کوئری DNS به سرویس‌دهنده DNS ارسال می‌کند و در‌صورتی‌که سیستم آسیب‌پذیر باشد، این آسیب‌پذیری به مرور سیستم‌های توزیع لینوکس هدف را مورد سوء‌استفاده قرار می‌دهد.
systemd یک سیستم ابتدایی است که در توزیع‌های لینوکس استفاده می‌شود تا فضای کاربر را خود راه‌اندازی کند و پس از راه‌اندازی برای مدیریت فرآیندهای سیستمی مورد استفاده قرار می‌گیرد. سپس یک کوئری ساختگی مشخص به سرویس‌دهنده DNS فرستاده می‌شود که سبب می‌شود systemd  یک حلقه بی‌نهایت را اجرا کند و استفاده CPU سیستم را روی 100% نگه دارد.
مهاجم از حملات فیشینگ و مهندسی اجتماعی برای بازدید از سیستم کاربران تا کنترل‌کننده دامنه، استفاده می‌کند و سپس کاربر به ارسال کوئری به DNS هدایت می‌شود.
محققان یک سرویس‌دهنده DNS سفارشی ایجاد کردند تا با بازگرداندن پاسخ‌های دارای قالب مخرب، این آسیب‌پذیری را مورد تست قرار دهند.

https://cert.um.ac.ir/index.php?r=fileManager/viewFile&id=762

بسته‌ای از پاسخ DNS ویژه ساخته‌شده

در اینجا پاسخی متشکل از رکورد NSEC مشاهده می‌شود که برای ایجاد آسیب‌پذیری طراحی شده است.


هر دفعه که سیستم دستور systemd را برای تحلیل DNS اجرا می‌کند، بسته‌ ویژه DNS ساختگی دریافت می‌کند و کارکرد CPU به 100% می‌رسد.
بر مبنای Trend Micro، توابع جدیدی به مرور به DNS اضافه می‌شود، که این امر منجر به افزودن ویژگی‌های جدید و ایجاد امنیت بیشتر است. یکی از رکوردهای منابع جدید که به توسعه‌های امنیتی DNS (DNSSEC)، اضافه شده، همانطور که در RFC 4034 تعریف شده رکورد NSEC (Next Secure) است.
آسیب‌پذیری بر مبنای پردازش بیت‌هایی است که ارائه دهنده عناصر ساختگی در بیت مپ  NSECمی‌باشند.
برطرف کردن این آسیب‌پذیری درsystemd  مؤثرترین روش برای حل این معضل می‌باشد. Trend Micro با ارائه گزارشی در ماه جاری به‌واسطه Zero-Day Initiative (ZDI)، باعث نگرانی فروشندگان شده است. هیچ حمله جدی علیه این آسیب‌پذیری شناسایی نشده است.
کاهش عدم ارائه خدمات در لینوکس
Trend Micro تکنیک های زیر را برای کاهش این آسیب‌پذیری ارائه کرده است:
همانطور که پیش‌تر مطرح شد، روش‌هایی برای برطرف‌سازی این آسیب‌پذیری ارائه شده است. پیشنهاد ما اعمال این روش‌های ترمیمی به سیستم‌های در معرض خطر، در سریع‌ترین زمان ممکن است.
مدیران سیستم ممکن است مسدود کردن دستی پاکت‌های دارای پتانسیل تخریب را انتخاب کنند. پاسخ‌های DNS ورودی می‌بایست به منظور مشاهده شمول رکوردهای منابع، همان‌گونه که در بخش 4 یا RFC4034 مشخص شد، مورد بررسی قرار گیرند.
مانیتورینگ ترافیک پاسخ‌های DNS ورودی و شناسایی این‌که آیا DNS RR ها در بخش پاسخ، شامل DNS و رکوردهای دارای انواع مشخص شده در RFC4034 بخش 4 هستند، از جمله اقداماتی است که باید انجام شود. چنانچه بیت مپ الصاقی پردازش شود و شامل انواع ساختگی باشد، می‌بایست مسدود شود.

آدرس اینترنتی خبرhttps://gbhackers.com/linux-denial-ofservice
تاریخ درج خبر1396-09-13
صفحه اصلی | تماس با ما | معرفی آزمایشگاه | ورود
©2017 Ferdowsi University Of Mashhad
مرکز آپا | آپا | آپا چیست