TR-15-028 (Çok Noktaya DNS (Multicast DNS - mDNS) Uygulamaları)

Genel Bakış

Çok noktaya (Multicast) DNS uygulamaları yerel bağlantı ağı dışındaki kaynaklardan başlayan tek noktaya (unicast) sorgulara yanıt verebilmesi ihtimal dâhilindedir. Bu tür yanıtlar, ağ cihazları hakkında bilgilerin ifşa edilmesi ya da hizmet engelleme (DoS) saldırılarının etkilerinin artırılması amacıyla kullanılabilir.

Tanım

Çok noktaya (Multicast) DNS (mDNS), yerel bağlantı ağındaki aygıtlar için diğer hizmet ve cihazları otomatik olarak bulmak için kullanılan bir yoldur. Bazı mDNS uygulamaları, yerel bağlantı ağı dışında (örneğin, WAN) gelen tek noktaya sorgulara yanıt vermektedir. Bu mDNS yanıtları neticesinde ağdaki cihaz bilgilerinin açığa çıkmasına neden olabilir.

Ayrıca, yanıt olarak döndürülen bilgiler, boyut olarak sorgudan daha büyük olduğundan ve hizmet engelleme (DoS) saldırılarının etkilerinin artırılması için de kullanılabilir.

RFC 6762 Dokümanında mevcut Bölüm 5.5 aşağıda sunulmaktadır:

"... Bir tek noktaya sorgunun yerel bağlantı dışında bir makineden alınması mümkün olduğundan, yanıtlayıcı sorgu paket kaynak adresinin bu bağlantı için yerel alt ağ ile eşleştiğini (IPv6 durumunda kaynak adresin bağlantı-üzeri öneki varlığı) kontrol etmesi zorunludur, eşleşmiyor ise paketi görmezden gelir.

Bu belgenin kapsamı dışında, yerel bağlantı haricinde kaynaklanan sorgulara yanıt veren bir yanıtlayıcı oluşturmanın amaçlandığı ve arzu edildiği özel durumlar olabilir."

Yerel bağlantı dışından kaynaklanan tek noktaya yayın(unicast) sorguları özel olarak yasaklanmasa da, RFC 6762 bu tür paketleri görmezden gelmeyi önerir. Fakat muhtemelen RFC 6762 kapsamı dışında özel kullanım durumları için mDNS protokolünün bazı uygulamaları, yerel bağlantı ağı dışından kaynaklanan tek noktaya yayın (unicast) sorgularına yanıt vermektedir.

Bu koşullarda, yerel bağlantı dışından sorguya verilen mDNS yanıtı model numarası ve işletim sistemi gibi ağdaki cihazlar konusunda bilginin açığa çıkmasına neden olur.

Ayrıca yerel bağlantı dışından sorguya verilen mDNS yanıtı, sorgu boyutu ile karşılaştırıldığında yanıt boyutunun büyük olmasından dolayı, hizmet engelleme saldırılarının etkisinin artırımı için de kullanılabilir.

Daha fazla bilgi için güvenlik araştırmacısının blog sayfasına bakılabilir.

Etki

Yerel bağlantı ağı dışından kaynaklanan bir tek noktaya yayın sorgusuna verilecek bir mDNS yanıtı, sisteminin cihaz tipini/modelini ya da işletim sistemi gibi bilgilerin açığa çıkmasına neden olabilir.

mDNS yanıtı ayrıca diğer ağlara karşı yapılan bir hizmet engelleme saldırısının etkisinin artırılması amacıyla da kullanılabilir.

Çözüm

Ulusal Siber Olaylara Müdahale Merkezi (USOM) kullanıcı ve sistem yöneticilerine geniş alan ağı (WAN)’a gelen ve giden mDNS isteklerinin engellenmesini tavsiye etmektedir.

Eğer bu tür mDNS davranışı kuruluşunuz için bir gereklilik değilse, yerel ağ bağlantınıza gelen ve giden mDNS UDP 5353 portunu engelleyebilirsiniz.

Bazı yazılım ve cihazlar mDNS hizmetlerinin devre dışı bırakılmasına izin verebilir. Ürün satıcınıza danışabilirsiniz.

Üretici Bilgisi

Tarama sonuçlarını analiz etme girişimlerine rağmen hangi yazılımların mDNS sorgularına yanıt verdiği tam olarak açık değildir. Şu anda sadece az sayıda cihazın WAN’dan gelen tek noktaya yayın (unicast) sorgularına yanıt verdiği teyit edilmiştir.

Aşağıda varsayılan ayarlarda yerel ağ dışından tek noktaya yayın(unicast) sorgularına yanıt veren ürünlerin üreticileri listelenmektedir. Bu durum teknik olarak RFC'lere uygun olmakla birlikte, normal durumda bir güvenlik açığı olmasa dahi yukarıda özetlenen nedenlerden ötürü istenmeyen bir davranış olarak değerlendirilebilir.

Satıcı

Durum

Bilgilendirme Tarihi

Güncelleme Tarihi

Avahi mDNS

Etkilendi

-

31 Mart 2015

Canon

Etkilendi

10 Şubat 2015

20 Mart 2015

Hewlett-Packard Company

Etkilendi

10 Şubat 2015

20 Mart 2015

IBM Corporation

Etkilendi

10 Şubat 2015

31 Mart 2015

Synology

Etkilendi

10 Şubat 2015

31 Mart 2015

Cisco Systems, Inc.

Etkilenmedi

10 Şubat 2015

31 Mart 2015

Citrix

Etkilenmedi

10 Şubat 2015

25 Mart 2015

D-Link Sistemleri, Inc

Etkilenmedi

10 Şubat 2015

20 Mart 2015

F5 Networks, Inc.

Etkilenmedi

10 Şubat 2015

31 Mart 2015

Microsoft Corporation

Etkilenmedi

10 Şubat 2015

9 Mart 2015

Apple

Bilinmiyor

10 Şubat 2015

10 Şubat 2015

CentOS

Bilinmiyor

10 Şubat 2015

10 Şubat 2015

Debian GNU / Linux

Bilinmiyor

10 Şubat 2015

10 Şubat 2015

Dell Computer Corporation Inc

Bilinmiyor

10 Şubat 2015

10 Şubat 2015

 

Fedora Projesi

Bilinmiyor

10 Şubat 2015

10 Şubat 2015

Huawei Technologies

Bilinmiyor

10 Şubat 2015

10 Şubat 2015

 

Netgear, Inc

Bilinmiyor

10 Şubat 2015

10 Şubat 2015

Red Hat, Inc

Bilinmiyor

27 Şubat 2015

27 Şubat 2015

 

Ricoh Company Ltd.

Bilinmiyor

10 Şubat 2015

10 Şubat 2015

Ubuntu

Bilinmiyor

10 Şubat 2015

10 Şubat 2015

 

Xerox

Bilinmiyor

10 Şubat 2015

10 Şubat 2015

ZyXEL

Bilinmiyor

10 Şubat 2015

10 Şubat 2015

 

Kaynaklar

  • http://www.ietf.org/rfc/rfc6762.txt
  • http://lists.freedesktop.org/archives/avahi/2010-November/001952.html
  • https://github.com/chadillac/mdns_recon
  • http://www.kb.cert.org/vuls/id/550620

2015-04-06