Les correctifs de la mégafaille DNS prennent l'eau

Révélée en juillet, la faille est loin d'être comblée par les patchs de l'industrie. Dans certains cas, ce sont les firewall situés devant les serveurs DNS qui annulent les effets des correctifs.
- Bilan de l'été : failles et bogues
- Un méga-patch pour combler une énorme faille d'Internet
- Apple sort un patch contre la mégafaille Internet
- (Mise à jour) La mégafaille Internet totalement révélée et exploitée
- Les correctifs de la mégafaille DNS prennent l'eau
- Un énorme bogue dans une mise à jour de VMware
- Faille dans BlackBerry : désactivez la lecture des PDF ou faites la mise à jour
- Google renforce la sécurité de ses comptes Gmail
- Des failles critiques dans la VoIP de Cisco, Avaya et Nortel
Les firewall annulent l'effet des patchs
Le problème le plus complexe, et que les fabricants n'avaient pas anticipé, vient des firewall réseaux. Pour mémoire, le protocole DNS sert à traduire les noms des sites Web en adresses IP tandis que les firewall, situés entre les serveurs DNS et Internet, vérifient que le trafic Web (entrant et sortant) est bien légitime.Or, pour réaliser ce travail de filtrage, la plupart des firewall n'hésitent pas à modifier arbitrairement certains paramètres des protocoles de transport, en particulier lorsqu'ils se chargent de convertir les adresses IP d'un sous-réseau (fonction NAT pour Network Address Translation). Dans certains cas, ces modifications unilatérales se traduisent par l'annulation des effets des correctifs.' Sur la plupart des firewall, lorsque la fonction "Port translation" est activée, une des parades liée à la faille DNS et baptisée "Randomization Port" ?" qui consiste à attribuer des ports de manière aléatoire pour compliquer le travail des pirates ?" est désactivée car le firewall réalloue les numéros de port à sa façon ', explique Raphaël Marichez, responsable de la formation ' DNS et sécurité ' de Hervé Schauer Consultants (HSC). Même si le serveur DNS a été reprogrammé pour communiquer par l'intermédiaire de ports aléatoires, le firewall le rendra alors plus prévisible, donc plus facilement attaquable.La fonction concernée n'est toutefois pas systématiquement utilisée. ' Moins de 25 % des firewall utilisent la fonction "Port translation". Le problème est qu'elle est très difficile à remplacer ', explique Raphaël Marichez. Selon lui, dans ces cas bien précis, les fabricants doivent trouver des solutions spécifiques avec leurs clients.Les fabricants préparent de nouveaux correctifs
' Nous travaillons déjà assidûment avec nos clients afin d'implémenter rapidement des solutions de contournement. Nos équipes développent aussi une option qui permettra à nos firewall d'attribuer aléatoirement des ports, ce qui permettra de réduire les risques ', explique par e-mail Barry Green, directeur de l'équipe en charge de la sécurité chez Juniper. Quant à Cisco, le fabricant n'a pas été en mesure de répondre à temps.Pour l'heure, la plupart des fabricants (Juniper, Cisco, Citrix, etc.) encouragent leurs clients à contacter le support technique afin de régler leurs problèmes au cas par cas. Plusieurs sites spécialisés comme DNS-OARC permettent de tester la sécurité des serveurs DNS en tenant compte des firewall installés. Très clairs, les résultats se présentent sous la forme de graphiques qui indiquent le niveau de sécurité de chaque serveur DNS (voir captures ci-dessous).Selon Raphaël Marichez, étant donnés les efforts menés conjointement par les éditeurs et les fabricants, l'essentiel des serveurs DNS devrait être patché d'ici à la fin de l'année seulement. Et comme d'autres éléments réseaux tels que les firewall requièrent eux aussi un effort de maintenance, la correction de la faille risque de prendre du temps.Quant aux vulnérabilités intrinsèques du protocole DNS, aucune amélioration réelle ?" à laquelle le protocole DNSSEC (1) est candidat ?" n'est à prévoir avant de nombreuses années.

4 opinions
-
madpowah
Cela devient facilement réalisable avec un upload de ~100Go de paquets alors qu'avant ~5Mo suffisait.
100 Go n'est pas forcement compliqué a fournir avec un botnet. -
Matchistador
Justement, avec une bonne randomisation des ports, il faudrait (en théorie) tellement des temps pour réussir, que ca devient trés difficielement réalisable !
-
madpowah
Il ne faut pas oublier que les patch ne réparent pas les serveurs DNS mais augmentent la complexité pour l'exploitation en nécessitant l'injection de beaucoup plus de paquets.
Les possesseurs de botnet assez conséquents donc peuvent l'exploiter sans problème et très rapidement. -
jpepatestemesdns
le lien donné pour tester la sécurité des serveurs DNS ne marche pas ou tout du moins le bouton "test my dns" de ce site.
Votre réponse
Votre opinion