CTIR Gov alerta para brechas de proteção encontradas no BIND 9

Ambas as vulnerabilidades afetam a instância "named" e são capazes de causar encerramento inesperado quando colocado sob certas circunstâncias estabelecidas por agentes de ameaça ou de forma aleatória. o Internet Systems Consortium (ISC), já orientou formas de contornar essas dificuldades

Compartilhar:

O Internet Systems Consortium (ISC) divulgou a existência de vulnerabilidades que afetam o BIND 9, conforme as Common Vulnerabilities and Exposures (CVE) abaixo relacionadas. O alerta de atualização foi emitido pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov):

– https://nvd.nist.gov/vuln/detail/CVE-2023-3341

– https://nvd.nist.gov/vuln/detail/CVE-2023-4236

O BIND é amplamente utilizado como servidor de nomes de domínio (DNS). Versões desatualizadas do software podem sofrer ataques de negação de serviço, impactando as operações organizacionais que dependam do DNS. A Matriz de Vulnerabilidades de Segurança do BIND 9 fornece uma lista completa de versões afetadas.

O CTIR Gov solicita às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições que identifiquem sistemas BIND 9 vulneráveis e apliquem com urgência as devidas atualizações, conforme orientações do desenvolvedor, disponíveis no site do Internet Systems Consortium (ISC).

No primeiro caso, uma falha no código de rede que manipula consultas de DNS sobre TLS pode fazer com que a categoria “named” seja encerrada inesperadamente devido a uma falha de asserção. Isso acontece quando as estruturas de dados internas são reutilizadas incorretamente sob uma carga significativa de consultas DNS-over-TLS.

Uma instância “named” vulnerável a essa falha pode ser encerrada inesperadamente quando submetida a uma carga significativa de consultas DNS-over-TLS. Essa falha não afeta o código DNS-over-HTTPS, pois ele usa uma implementação de TLS diferente.

Como modo de contornar essa vulnerabilidade, recomenda-se desativar a escuta de conexões DNS-over-TLS (removendo listen-on … tls …{ … }; da configuração), impedindo os caminhos de código afetados de serem usados, impossibilitando a exploração. No entanto, não há solução alternativa para essa falha se o suporte a DNS-over-TLS for necessário.

Já no caso da segunda vulnerabilidade, o código que processa as mensagens do canal de controle enviadas ao “named” chama determinadas funções recursivamente durante a análise de pacotes.
A profundidade da recursão é limitada apenas pelo tamanho máximo de pacote aceito. Dependendo do ambiente, isso pode fazer com que o código de análise de pacotes fique sem memória de pilha disponível, fazendo com que o named seja encerrado inesperadamente.

Como cada mensagem de entrada do canal de controle é totalmente analisada antes de seu conteúdo ser autenticado, a exploração dessa falha não exige que o invasor tenha uma chave RNDC válida; é necessário apenas o acesso à rede da porta TCP configurada do canal de controle.

Ao enviar uma mensagem especialmente criada pelo canal de controle, um invasor pode fazer com que o código de análise de pacotes fique sem memória de pilha disponível, fazendo com que o “named” seja encerrado inesperadamente. No entanto, o ataque só funciona em ambientes em que o tamanho da pilha disponível para cada processo/thread é pequeno o suficiente; o limite exato depende de vários fatores e, portanto, é impossível especificar universalmente.

Por padrão, o “named” só permite conexões de canal de controle pela interface de loopback, o que impossibilita a execução desse ataque pela rede. Ao permitir o acesso remoto à porta TCP configurada do canal de controle, deve-se ter o cuidado de limitar esse acesso a intervalos de IP confiáveis no nível da rede, impedindo efetivamente que partes não autorizadas realizem o ataque descrito nesta orientação.

O CTIR Gov adere ao padrão Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST).


Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Vulnerabilidade em aplicativo de mensagens permite invasões sem cliques do usuário, revela relatório

Relatório mostra que falha em aplicativo de mensagens está associada a sincronização de dispositivos, e afeta sistemas iOS e Mac
Security Report | Overview

86% dos CISOs brasileiros preveem um ataque cibernético impulsuinado por GenAI, afirma estudo

Estudo global reforça que a rápida ascensão da GenAI amplia riscos de perda de dados e pressiona líderes de segurança...
Security Report | Overview

Febraban faz alerta sobre golpes em maquininhas de cartão

A federação alerta sobre bandidos que enganam clientes em ações criminosas com maquininhas com o visor danificado e trocas de...
Security Report | Overview

Maio marca o segundo maior pico de tentativas de golpe em 2025, revela estudo

Indicador aponta mais de 1,2 milhão de tentativas de fraude em maio de 2025 no Brasil, o equivalente a uma...