Des attaques exploitant la faille du serveur DNS Bind ont commencé selon le spécialiste en sécurité Sucuri. Cette vulnérabilité qui prête le flanc aux attaques en déni de service distribuées (DDoS) affecte toutes les versions du logiciel Bind 9 qui convertit les noms de domaine en adresses IP. Un correctif a été livré la semaine dernière par l’Internet Systems Consortium afin d'intervenir sur cette vulnérabilité critique pour laquelle il n’existe aucune solution de contournement. Les experts en sécurité prévoyaient qu’elle allait être rapidement exploitée, d’où l’urgence d’appliquer le patch. Les principales distributions Linux (dont Red Hat, CentOS, Ubuntu) en ont également livré un.
Deux clients de Sucuri déjà attaqués
« DNS est l’une des parties les plus sensibles de l’infrastructure Internet », rappelle dans un billet Daniel Cid, CTO et fondateur de Sucuri. « Un serveur DNS qui tombe, cela signifie aussi que la messagerie, http et tous les autres services sont inaccessibles ». Dans un email à nos confrères d’IDG News Service, le dirigeant a indiqué que deux clients au moins de sa société avaient eu leurs serveurs DNS touchés à la suite d’attaques, dans deux secteurs d’activités différents.
Il s’agit de deux sites web très fréquentés qui ont déjà subi des attaques en déni de service distribuées auparavant, ce qui peut expliquer qu’ils aient été ciblés parmi les premiers. Une attaque qui a atteint son but laisse une trace dans les connexions aux services, rappelle Daniel Cid. Dans ce cas-là, la commande « ANY TKEY » devrait apparaître.
Les meilleures pratiques DNS proposent soit d'avoir à disposition des moteurs DNS alternatifs à Bind sur lesquels on peut switcher en cas de besoin. Soit d'avoir accès à une architecture DNS de secours dans le Cloud.
Signaler un abusDans les 2 cas cela permet d'éviter d'être vulnérable à des attaques suite aux failles de sécurité et d'avoir le temps d'attendre sereinement la publication du patch correctif et de le tester.