crédit : A.Davey
Encore une faille Bind, donc de première importance. Celle-ci porte l’immatriculation CVE-2015-5477 et, précise Michael McNally, le responsable incident chargé de la gestion de cette crise, « pratiquement tous les serveurs Bind non patchés sont potentiellement vulnérables, et il n’existe pas à notre connaissance de méthode de contournement ». Il est donc nécessaire de remplacer le service en question par un Bind 9 v 9.9.7-P2 ou P3 « immédiatement, insiste McNally, car la faille est considérée comme critique et mérite ce qualificatif ».
Dans les faits, un PoC écrit pour la circonstance prouve qu’avec un seul paquet, il est possible de mettre à genoux un serveur Bind, laissant l’intégralité du réseau dans l’impossibilité de communiquer via Internet. Il n’est donc pas impossible de conduire une attaque en déni de service « avec effet immédiat » contre une multitude de serveurs Web ou autres services Internet.
Il existe pourtant des alternatives à BIND comme NSD, Unbound, PowerDNS ou encore Knot. L’ANSSI recommande de diversifier les logiciels depuis plusieurs années.
La plupart des entreprises qui utilisent des produits commerciaux basés sur BIND comme Infoblox ou F5 sont directement concernés par cette problématique. Il faut que les RSSI considèrent sérieusement cette problématique en mettant en place des solutions de DNS hybrides.