Genel Bakış
Çok noktaya (Multicast) DNS uygulamaları yerel bağlantı ağı dışındaki kaynaklardan başlayan tek noktaya (unicast) sorgulara yanıt verebilmesi ihtimal dâhilindedir. Bu tür yanıtlar, ağ cihazları hakkında bilgilerin ifşa edilmesi ya da hizmet engelleme (DoS) saldırılarının etkilerinin artırılması amacıyla kullanılabilir.
Tanım
Çok noktaya (Multicast) DNS (mDNS), yerel bağlantı ağındaki aygıtlar için diğer hizmet ve cihazları otomatik olarak bulmak için kullanılan bir yoldur. Bazı mDNS uygulamaları, yerel bağlantı ağı dışında (örneğin, WAN) gelen tek noktaya sorgulara yanıt vermektedir. Bu mDNS yanıtları neticesinde ağdaki cihaz bilgilerinin açığa çıkmasına neden olabilir.
Ayrıca, yanıt olarak döndürülen bilgiler, boyut olarak sorgudan daha büyük olduğundan ve hizmet engelleme (DoS) saldırılarının etkilerinin artırılması için de kullanılabilir.
RFC 6762 Dokümanında mevcut Bölüm 5.5 aşağıda sunulmaktadır:
"... Bir tek noktaya sorgunun yerel bağlantı dışında bir makineden alınması mümkün olduğundan, yanıtlayıcı sorgu paket kaynak adresinin bu bağlantı için yerel alt ağ ile eşleştiğini (IPv6 durumunda kaynak adresin bağlantı-üzeri öneki varlığı) kontrol etmesi zorunludur, eşleşmiyor ise paketi görmezden gelir.
Bu belgenin kapsamı dışında, yerel bağlantı haricinde kaynaklanan sorgulara yanıt veren bir yanıtlayıcı oluşturmanın amaçlandığı ve arzu edildiği özel durumlar olabilir."
Yerel bağlantı dışından kaynaklanan tek noktaya yayın(unicast) sorguları özel olarak yasaklanmasa da, RFC 6762 bu tür paketleri görmezden gelmeyi önerir. Fakat muhtemelen RFC 6762 kapsamı dışında özel kullanım durumları için mDNS protokolünün bazı uygulamaları, yerel bağlantı ağı dışından kaynaklanan tek noktaya yayın (unicast) sorgularına yanıt vermektedir.
Bu koşullarda, yerel bağlantı dışından sorguya verilen mDNS yanıtı model numarası ve işletim sistemi gibi ağdaki cihazlar konusunda bilginin açığa çıkmasına neden olur.
Ayrıca yerel bağlantı dışından sorguya verilen mDNS yanıtı, sorgu boyutu ile karşılaştırıldığında yanıt boyutunun büyük olmasından dolayı, hizmet engelleme saldırılarının etkisinin artırımı için de kullanılabilir.
Daha fazla bilgi için güvenlik araştırmacısının blog sayfasına bakılabilir.
Etki
Yerel bağlantı ağı dışından kaynaklanan bir tek noktaya yayın sorgusuna verilecek bir mDNS yanıtı, sisteminin cihaz tipini/modelini ya da işletim sistemi gibi bilgilerin açığa çıkmasına neden olabilir.
mDNS yanıtı ayrıca diğer ağlara karşı yapılan bir hizmet engelleme saldırısının etkisinin artırılması amacıyla da kullanılabilir.
Çözüm
Ulusal Siber Olaylara Müdahale Merkezi (USOM) kullanıcı ve sistem yöneticilerine geniş alan ağı (WAN)’a gelen ve giden mDNS isteklerinin engellenmesini tavsiye etmektedir.
Eğer bu tür mDNS davranışı kuruluşunuz için bir gereklilik değilse, yerel ağ bağlantınıza gelen ve giden mDNS UDP 5353 portunu engelleyebilirsiniz.
Bazı yazılım ve cihazlar mDNS hizmetlerinin devre dışı bırakılmasına izin verebilir. Ürün satıcınıza danışabilirsiniz.
Üretici Bilgisi
Tarama sonuçlarını analiz etme girişimlerine rağmen hangi yazılımların mDNS sorgularına yanıt verdiği tam olarak açık değildir. Şu anda sadece az sayıda cihazın WAN’dan gelen tek noktaya yayın (unicast) sorgularına yanıt verdiği teyit edilmiştir.
Aşağıda varsayılan ayarlarda yerel ağ dışından tek noktaya yayın(unicast) sorgularına yanıt veren ürünlerin üreticileri listelenmektedir. Bu durum teknik olarak RFC'lere uygun olmakla birlikte, normal durumda bir güvenlik açığı olmasa dahi yukarıda özetlenen nedenlerden ötürü istenmeyen bir davranış olarak değerlendirilebilir.
|
Satıcı |
Durum |
Bilgilendirme Tarihi |
Güncelleme Tarihi |
|
Avahi mDNS |
Etkilendi |
- |
31 Mart 2015 |
|
Canon |
Etkilendi |
10 Şubat 2015 |
20 Mart 2015 |
|
Hewlett-Packard Company |
Etkilendi |
10 Şubat 2015 |
20 Mart 2015 |
|
IBM Corporation |
Etkilendi |
10 Şubat 2015 |
31 Mart 2015 |
|
Synology |
Etkilendi |
10 Şubat 2015 |
31 Mart 2015 |
|
Cisco Systems, Inc. |
Etkilenmedi |
10 Şubat 2015 |
31 Mart 2015 |
|
Citrix |
Etkilenmedi |
10 Şubat 2015 |
25 Mart 2015 |
|
D-Link Sistemleri, Inc |
Etkilenmedi |
10 Şubat 2015 |
20 Mart 2015 |
|
F5 Networks, Inc. |
Etkilenmedi |
10 Şubat 2015 |
31 Mart 2015 |
|
Microsoft Corporation |
Etkilenmedi |
10 Şubat 2015 |
9 Mart 2015 |
|
Apple |
Bilinmiyor |
10 Şubat 2015 |
10 Şubat 2015 |
|
CentOS |
Bilinmiyor |
10 Şubat 2015 |
10 Şubat 2015 |
|
Debian GNU / Linux |
Bilinmiyor |
10 Şubat 2015 |
10 Şubat 2015 |
|
Dell Computer Corporation Inc |
Bilinmiyor |
10 Şubat 2015 |
10 Şubat 2015
|
|
Fedora Projesi |
Bilinmiyor |
10 Şubat 2015 |
10 Şubat 2015 |
|
Huawei Technologies |
Bilinmiyor |
10 Şubat 2015 |
10 Şubat 2015
|
|
Netgear, Inc |
Bilinmiyor |
10 Şubat 2015 |
10 Şubat 2015 |
|
Red Hat, Inc |
Bilinmiyor |
27 Şubat 2015 |
27 Şubat 2015
|
|
Ricoh Company Ltd. |
Bilinmiyor |
10 Şubat 2015 |
10 Şubat 2015 |
|
Ubuntu |
Bilinmiyor |
10 Şubat 2015 |
10 Şubat 2015
|
|
Xerox |
Bilinmiyor |
10 Şubat 2015 |
10 Şubat 2015 |
|
ZyXEL |
Bilinmiyor |
10 Şubat 2015 |
10 Şubat 2015 |
Kaynaklar
- http://www.ietf.org/rfc/rfc6762.txt
- http://lists.freedesktop.org/archives/avahi/2010-November/001952.html
- https://github.com/chadillac/mdns_recon
- http://www.kb.cert.org/vuls/id/550620