Du code de validation de concept visant des attaques d'empoisonnement de cache du DNS est disponible dans le grand public

Numéro : AL08-001
Date : 21 juillet 2007

Objet

Le but de cette alerte est de porter à votre attention que du code de validation de concept pouvant faciliter des attaques d'empoisonnement de cache du DNS a été diffusé dans le grand public.

Évaluation

Le CCRIC a diffusé le 8 juillet l'avis « AV08-056 - Mises en œuvre du DNS de plusieurs fournisseurs vulnérables à l'empoisonnement de cache » pour mettre en garde les administrateurs de système contre des lacunes de mises en œuvre du protocole DNS et de mises en œuvre répandues du DNS.

Les récentes recherches à ce sujet et d'autres vulnérabilités connexes qui ont donné lieu à des méthodes d'exploitation extrêmement efficaces pour occasionner un empoisonnement de cache ont été diffusées dans le grand public. Malgré qu'il soit difficile de prédire quand cette information sera exploitée, le CCRIC prévoit que les outils d'attaque seront disponibles prochainement.

Les fournisseurs de logiciels reliés au DNS ont mis en œuvre un processus de randomisation du port source dans leurs serveurs afin de réduire l'efficacité de la méthode d'exploitation de cette lacune.

Mesure suggérée

Malgré qu'il faille envisager les recommandations suivantes au sujet des serveurs de noms avec mise en cache, celles-ci ne suffisent pas à atténuer les risques d'attaque :

• Permettre seulement les requêtes provenant d'adresses IP connues;
• Appliquer des filtres anti-usurpation au périmètre de leur réseau;
• Ne pas fournir de service de noms faisant autorité sur un serveur de nom avec mise en cache.

Le CCRIC recommande fortement aux administrateurs de système de tester et d'appliquer à la première occasion les correctifs à leurs « serveurs de noms » et systèmes d'exploitation qui effectuent la mise en cache. Cela doit être considéré comme hautement prioritaire.

Les administrateurs de réseau doivent vérifier que les appareils de conversion d'adresse réseau (NAT) ne nuisent pas au correctif. Certains problèmes connus avec NAT pourraient empêcher la randomisation du port source au moyen du correctif du relié au DNS.

Pour de plus amples renseignements, veuillez consulter les liens suivants :

Avis AV08-056 du CCRIC
www.ps-sp.gc.ca/prg/em/ccirc/2008/av08-056-fra.aspx

Avis d'ISC au sujet de Bind
http://www.isc.org/index.pl?/sw/bind/forgery-resilience.php

Avis MS08-037 de Microsoft : Vulnerabilities in DNS Could Allow Spoofing (953230)
http://www.microsoft.com/technet/security/bulletin/ms08-037.mspx
(version française non disponible au moment de la présente publication)

Note relative aux vulnérabilités du US-CERT/CERT-CC
http://www.kb.cert.org/vuls/id/800113

CERT/CC Securing DNS servers
http://www.cert.org/archive/pdf/dns.pdf

Avis aux lecteurs

Sécurité Publique Canada (SP) recueille des renseignements concernant les menaces et les incidents cybernétiques et matériels contre les infrastructures essentielles (IE) du Canada. Ceci permet à SPPCC de surveiller et d'analyser les menaces et de diffuser des alertes, des avis de sécurité, ainsi que d'autres produits d'information à nos partenaires.

Le Centre des opérations du gouvernement (COG) représente le centre de coordination stratégique du gouvernement du Canada, dans sa réponse aux événements ponctuels et aux tendances émergentes qui sont d'intérêt d'envergure nationale, incluant les menaces contre et les incidents affectant les infrastructures essentielles (IE) du Canada. Le COG recueille, partage et coordonne les flux d'informations avec les différents ministères et organismes fédéraux, les partenaires des provinces et territoires ainsi que les partenaires internationaux.

Pour des renseignements généraux sur la protection des infrastructures essentielles et la protection civile, veuillez communiquer avec la direction des Affaires publiques du SPPCC:

Téléphone : 613-944-4875 ou 1-800-830-3118
Télécopieur : 613-998-9589
Courriel : communications@sp.gc.ca