Incidencias en DNS podrían afectar a Grok® DNS

Al comenzar a recibir información sobre lo que luego se catalogó como CVE-2011-4313, publicamos esta nota para poner a nuestros clientes al tanto de que podrían haber afectaciones de servicio.

En la medida que se ha recibido mayor información y que los fabricantes han tenido tiempo de preparar los mecanismos de respuesta, ya tenemos una idea mucho más clara.

En nuestro diagnóstico inicial -- a pocas horas de los primeros incidentes -- decidimos ser conservadores y asumir que nuestra plataforma era vulnerable.

De acuerdo con la nota emitida por MITRE, nuestra plataforma nunca estuvo amenazada ya que los servidores de nombres de la plataforma Grok® DNS están configurados siguiendo las mejores prácticas de separación de funciones. En particular, los servidores de nombres de autoridad no ofrecen servicios recursivos.

Aun así, ya hemos aplicado las actualizaciones de seguridad recomendadas. También desplegamos -- en paralelo con la publicación de la nota original -- medidas correctivas adicionales que aseguran la disponibilidad del servicio para todos nuestros clientes.

Configuración de Sus Propios Servidores de Nombres

Si sus servidores de nombres están basados en BIND 9 y ofrece servicios recursivos -- esto es, sus servidores ejecutan la resolución de nombres para clientes en sus redes -- entonces es importante que aplique los correctivos publicados por ISC en su comunicado. Esta es la mejor forma de estar protegidos contra la recurrencia del problema.

Aun en el caso de que, como aseveran muchos expertos, no se trate de un ataque informático sino del efecto de un problema en BIND 9, es lógico suponer que ya hay personas trabajando en cómo reconstruir el incidente para convertirlo en una vía de ataque.

Como medida adicional, debe considerar mantener separada la función de resolución de nombres recursiva de la de autoridad en todas las redes bajo su control.