O Internet Systems Consortium (ISC) divulgou a existência de vulnerabilidades que afetam o BIND 9, conforme as Common Vulnerabilities and Exposures (CVE) abaixo relacionadas. O alerta de atualização foi emitido pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov):
– https://nvd.nist.gov/vuln/detail/CVE-2023-3341
– https://nvd.nist.gov/vuln/detail/CVE-2023-4236
O BIND é amplamente utilizado como servidor de nomes de domínio (DNS). Versões desatualizadas do software podem sofrer ataques de negação de serviço, impactando as operações organizacionais que dependam do DNS. A Matriz de Vulnerabilidades de Segurança do BIND 9 fornece uma lista completa de versões afetadas.
O CTIR Gov solicita às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições que identifiquem sistemas BIND 9 vulneráveis e apliquem com urgência as devidas atualizações, conforme orientações do desenvolvedor, disponíveis no site do Internet Systems Consortium (ISC).
No primeiro caso, uma falha no código de rede que manipula consultas de DNS sobre TLS pode fazer com que a categoria “named” seja encerrada inesperadamente devido a uma falha de asserção. Isso acontece quando as estruturas de dados internas são reutilizadas incorretamente sob uma carga significativa de consultas DNS-over-TLS.
Uma instância “named” vulnerável a essa falha pode ser encerrada inesperadamente quando submetida a uma carga significativa de consultas DNS-over-TLS. Essa falha não afeta o código DNS-over-HTTPS, pois ele usa uma implementação de TLS diferente.
Como modo de contornar essa vulnerabilidade, recomenda-se desativar a escuta de conexões DNS-over-TLS (removendo listen-on … tls …{ … }; da configuração), impedindo os caminhos de código afetados de serem usados, impossibilitando a exploração. No entanto, não há solução alternativa para essa falha se o suporte a DNS-over-TLS for necessário.
Já no caso da segunda vulnerabilidade, o código que processa as mensagens do canal de controle enviadas ao “named” chama determinadas funções recursivamente durante a análise de pacotes.
A profundidade da recursão é limitada apenas pelo tamanho máximo de pacote aceito. Dependendo do ambiente, isso pode fazer com que o código de análise de pacotes fique sem memória de pilha disponível, fazendo com que o named seja encerrado inesperadamente.
Como cada mensagem de entrada do canal de controle é totalmente analisada antes de seu conteúdo ser autenticado, a exploração dessa falha não exige que o invasor tenha uma chave RNDC válida; é necessário apenas o acesso à rede da porta TCP configurada do canal de controle.
Ao enviar uma mensagem especialmente criada pelo canal de controle, um invasor pode fazer com que o código de análise de pacotes fique sem memória de pilha disponível, fazendo com que o “named” seja encerrado inesperadamente. No entanto, o ataque só funciona em ambientes em que o tamanho da pilha disponível para cada processo/thread é pequeno o suficiente; o limite exato depende de vários fatores e, portanto, é impossível especificar universalmente.
Por padrão, o “named” só permite conexões de canal de controle pela interface de loopback, o que impossibilita a execução desse ataque pela rede. Ao permitir o acesso remoto à porta TCP configurada do canal de controle, deve-se ter o cuidado de limitar esse acesso a intervalos de IP confiáveis no nível da rede, impedindo efetivamente que partes não autorizadas realizem o ataque descrito nesta orientação.
O CTIR Gov adere ao padrão Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST).
