Sur les derniers mois, on a vu apparaître 5 vulnérabilités majeures* qui ont demandé aux clients de mettre à jour leurs serveurs DNS.

Quels sont les impacts possibles sur la sécurité des entreprises ?

Le type d’attaque le plus commun reste le « déni de service », où l’attaquant cherche à rendre le service inaccessible et à rendre publique cette information. La prolifération des botnets et des kits téléchargeables rend ces attaques de plus en plus communes.

A l’opposé, les attaques plus sophistiquées (et souvent les plus graves) utilisent presque toujours une combinaison de plusieurs vulnérabilités selon un scénario qui s’étend parfois sur plusieurs jours, voire plusieurs semaines.

On peut donc dire que l’augmentation du nombre de vulnérabilité correspond à une élévation du risque d’attaque.

Ainsi les sites comme "AL Jazeera", ZoneEdit et GoDaddy ont tous subi des arrêts de service importants durant le mois de septembre. Plus récemment, une attaque au Brésil sur plus de 4 millions d’utilisateurs.

En changeant l’adresse du DNS sur les modems-routeurs, les pirates ont redirigés les requêtes des utilisateurs vers une quarantaine de serveurs configurés comme DNS autoritatifs pour des sites bancaires ou grand public. Les utilisateurs étaient donc renvoyés vers des sites de phishing.

Y-a-t-il une typologie pour les attaques DNS ?

Ces vulnérabilités sont en priorité une menace pour les DNS externes (les serveurs DNS présents en DMZ) mais aussi sur les DNS utilisés sur le réseau interne de l’entreprise.

Les DNS externes traitent deux fonctions : le cache pour la résolution de noms externes (par exemple si un utilisateur demande à surfer sur www.google.fr) et l’autorité sur le ou les domaines de l’entreprise (par exemple : l’adresse du serveur de mail, l’adresse du serveur web ou celle de la passerelle vpn).

L’exploitation des vulnérabilités des serveurs caches peut engendrer un détournement du flux Web et mail ou un arrêt total de toute activité sortant sur Internet.

La corruption d’un serveur autoritatif peut conduire à une disparition de la présence de l’entreprise sur la toile ou arrêter des services comme la réception d’email.

Le DNS Interne est souvent considéré comme moins vulnérable, vu les mesures de sécurité périmétrique de type firewall applicatifs en cours de mise en place.

En réalité, nous observons que la mise en place de projets VDI ou la migration d’applications locales vers un Cloud centralisé rend le service DNS interne de plus en plus critique.

Si on exclut le cas banal des serveurs DNS internes qui font de la récusion directe sur Internet et qui font courir à l’entreprise des risques de cache poisoning énorme.

Nous rencontrons 3 grands types de menaces :

· Les Botnets et malwares qui, une fois installés sur les postes du réseau interne vont utiliser le DNS pour contacter leur « centre de commandement ». Le résultat est une attaque « déni de service » provenant de l’intérieur de l’architecture.

· Les possibilités d’évasion de données s’appuyant sur des flux « DNS tunneling ».

· Les attaques menées très simplement par des employés en délicatesse avec leur entreprise et qui auraient choisi comme mode de manifestation de bloquer le réseau grâce à des outils simples trouvés sur des sites du type des "Anonymous".

Ainsi les DNS internes sont souvent très vulnérables et constituent un point névralgique du réseau.

On citera par exemple les architectures Microsoft Active Directory qui s’appuient directement sur ce service pour leur fonctionnement interne.

Comment va évoluer l’offre Infoblox en regard de ces nouvelles menaces ?

Nous articulons notre offre selon trois axes :

· Adoption des « Best Practices » par nos clients

· Mise en place de capacités d’alerte et de reporting

· Mise en place de capacité de réponse (mitigation)

Ainsi nous mettons notre expertise à la disposition de nos clients et savons nous engager sur les design et sizing proposés. Cela constitue un véritable avantage pour nos clients qui peuvent ainsi se concentrer sur leur cœur de métier.

Notre gamme de produits évolue vers plus de visibilité de l’activité DNS pour nos clients au travers du reporting en temps réel, du suivi des tendances des requêtes DNS et de l’alerting.

Notre gamme d’appliances évolue également vers des plateformes de plus en plus performantes afin de faire face à des attaques de type DDOS. La dernière appliance de la gamme Infoblox peut supporter jusqu’à 1 million de requêtes DNS par seconde grâce à un module d’accélération matériel développé spécifiquement.

L’implémentation du DNSSEC fait également partie de nos préoccupations. La mise en place d’une solution DNSSEC peut s’avérer laborieuse et dangereuse pour l’entreprise qui n’aurait pas assez de ressource à y consacrer.

Infoblox propose une solution simple à déployer qui permet d’automatiser la gestion des clés et des process associés (signature des zones, rollover des clés, etc.).

CVE-2012-1667, en date du 4 juin 2012,

“Risque de crash des serveurs récursifs en cas d’ajout d’un enregistrement de longueur Zero.”

Score CVSS : 8.5/10

CVE-2012-3868, en date du 24 Juillet 2012,

“Crash possible du moteur BIND lors de l’envoi d’un très grand nombre de requêtes TCP.”

Score CVSS : 5.0/10

CVE-2012-4244, en date du 12 Septembre 2012.

« Risque de crash du moteur BIND sur réception d’un message de grande longueur spécifiquement forgé. »

Score CVSS : 7.8/10

CVE-2012-5166, en date du 9 octobre 2012

« Risque de blocage du moteur BIND lorsque une certaine combinaison de donnes sont présentes dans la base et qu’une requête sollicite ces enregistrements. »

Score CVSS : 7.8/10

Le score CVSS est un critère d’évaluation normalisé et maintenu par le FIRST (Forum of Incident Response and Security Teams ).

http://www.first.org/cvss/cvss-guide.html