Kwetsbaarheden in BIND

Berkeley Internet Name Daemon (BIND), een veelgebruikte name server gemaakt door Internet Systems Consortium (ISC),  zorgde afgelopen week voor lichte paniek. Wat was er aan de hand?

Kort op elkaar werden twee kwetsbaarheden in de BIND-software ontdekt. Vooral de eerste ‘bug’ (CVE-2011-2464), die het mogelijk maakt om willekeurige BIND-systemen of afstand te laten crashen, vormt een flinke bedreiging – aangezien BIND wereldwijd zeer veel gebruikt wordt, mogelijk ook in jouw organisatie.

Early warning system
ISC heeft een waarschuwingssysteem ingericht om BIND gebruikers over dit soort kwetsbaarheden te informeren. Het is een getrapt systeem, waarbij eerst belangrijke (betalende) klanten in het diepste geheim worden geïnformeerd. Dat geeft deze partijen de gelegenheid om hun systemen te ‘patchen’, ruim voordat het bericht over de kwetsbaarheid via andere kanalen wereldkundig wordt gemaakt.

Die verdere bekendmakingen volgen met tussenpozen van enkele dagen. Na de initiële bekendmaking aan belangrijke klanten (fase 1), volgen beveiligingsorganisaties (fase 2) en leveranciers (fase 3). De laatste trap, fase 4, is een publiekelijke bekendmaking. De gedachte achter deze stapsgewijze bekendmakingen is dat potentiële hackers pas in een zo laat mogelijk stadium lucht krijgen van de kwetsbaarheid en gebruikers de gelegenheid hebben om voor die tijd gepatcht te zijn. De ‘fase 1’ bekendmaking was op 14 juni, later gevolgd door een aanpassing op 28 juni.

Uitglijder van AusCERT
Helaas was er een partij, AusCERT, die zich per abuis niet aan de geheimhoudingsplicht hield, waardoor ISC zich genoodzaakt zag de stapsgewijze bekendmakingen overhaast te vervroegen. Dat leverde enige chaos op. Eerst werden fase 2 en 3 vervroegd van 5 naar 4 juli, wat in de V.S. een feestdag is en dus een hoop geagiteerde systeembeheerders opleverde. De publiekelijke bekendmaking, fase 4, was gepland voor 6 juli, maar bleek ‘ineens’ ook met een dag te worden vervroegd. Hierdoor raakten enkele partijen  toch nog in het nauw.

Wat kunnen we hier van leren?
A) Volg security-advisories van al je software, maar zeker van de kritieke software zoals DNS-software (zonder goed werkend DNS is het internet effectief ‘stuk’)
B) Zorg dat je een adequaat en goed functionerend patch-managementbeleid hebt
C) Overweeg of het voordeel van betaalde support de moeite waard is (ook als het open-source betreft). ISC maakt haar advisories bijvoorbeeld het eerst bekend aan haar betalende klanten.

Ernstig
De ontdekte kwetsbaarheden in BIND zijn ernstig. Ze stellen een kwaadwillende in staat om op afstand je name server te laten crashen. Het maakt daarbij niet uit of deze de rol van resolver of authoritative name server heeft. Het dringende advies is dan ook om, indien van toepassing, je BIND-software te upgraden.


Marco Davids is Technisch Adviseur bij SIDN, de ‘registry’ van het Nederlandse ‘country code top level domain’ (TLD) en dus het bedrijf achter alle .nl domeinnamen.

Over Marco Davids

Marco Davids is Technisch Adviseur bij SIDN.