Phần mềm cũ khiến máy chủ DNS gặp nguy hiểm

Nghiên cứu mới đây cho thấy 20% máy chủ tên miền sử dụng phần mềm lạc hậu hoặc cấu hình không phù hợp và 2/3 "mở rộng cửa" cho những cuộc tấn công từ chối dịch vụ hoặc làm "nhiễm độc" bộ nhớ cache.

Máy chủ DNS, có nhiệm vụ chuyển tên miền như "xyz.com" sang địa chỉ IP, là cơ sở cho mọi hoạt động của Internet. Tuy nhiên, kết quả điều tra của công ty chuyên về Internet, Measurement Factory, cho thấy 1/5 phần mềm BIND được sử dụng để phân tích và chuyển đổi tên miền là chương trình cũ. Những hệ thống chạy phiên bản trước BIND 9 đều có nguy cơ gặp phải những cuộc tấn công pharming - một kiểu phishing qua việc làm nhiễm độc cache.

DNS cache bị nhiễm sẽ cho phép tội phạm thâm nhập vào máy chủ tên miền và thay thế địa chỉ IP dạng số của website hợp pháp sang trang lừa đảo hoặc chứa mã độc. Người sử dụng Internet sau đó sẽ bị hướng đến những site giả này, và vô tình để lộ thông tin như chi tiết tài khoản ngân hàng, mật khẩu, hoặc bị cài spyware trong máy tính.

Dù vậy, Thomas Kristensen, Giám đốc kỹ thuật của hãng bảo mật Secunia, không cho rằng đây là một nguy cơ lớn: "Phiên bản 8.x và 4.x của BIND về cơ bản có nguy cơ thấp, nhưng chúng không phù hợp với việc sử dụng như là một forwarder (trình chuyển tiếp) trong những thiết lập máy chủ tên miền cụ thể. Việc làm nhiễm cache chỉ có hiệu quả khi chúng đóng vai trò là một forwarder".

Kristensen nhấn mạnh thêm rằng Hiệp hội hệ thống Internet ISC, nhóm hậu thuẫn BIND, cũng đã khuyến cáo không được sử dụng phiên bản 4.x và 8.x làm trình chuyển tiếp.

Máy chủ tên miền lưu địa chỉ dạng số của các website trong cache. Khi nó không có đủ thông tin để tự phân tích và chuyển đổi yêu cầu, DNS forwarder sẽ gửi lệnh tới một máy chủ khác. Quá trình này được gọi là "dịch vụ tên đệ quy": server đưa yêu cầu của nó lên hệ đẳng cấp của máy chủ DNS cho đến khi tìm được một hệ thống có khả năng chuyển đổi yêu cầu đó. Measurement Factory đã điều tra 1,3 triệu server và nhận thấy hơn 3/4 cho phép dịch vụ tên đệ quy hoạt động với người hỏi bất kỳ, hay những hệ thống không được xác định, thay vì chỉ với người sử dụng tin cậy.

Về mặt lý thuyết, một khi hacker đã khống chế server, dịch vụ đệ quy sẽ bị lợi dụng để buộc những máy chủ khác kết nối với server bị khống chế để chuyển đổi lệnh. Về lâu dài, điều này hỗ trợ hacker làm nhiễm độc một lượng lớn máy chủ DNS chỉ từ một hệ thống.

Kẻ tấn công muốn khống chế một DNS server qua dịch vụ tên đệ quy cần xác định các máy chủ liên kết với nhau như thế nào. Chúng có thể biết điều này bằng quá trình chuyển vùng (zone transfer) - lệnh hỏi một máy chủ xem có những server nào cùng nằm trong "vùng" của nó. Measurement Factory cho biết hiện nay có tới hơn 40% DNS server cho phép thực hiện zone transfer từ những lệnh không rõ nguồn gốc.

T.N