CTIR Gov alerta para brechas de proteção encontradas no BIND 9

Ambas as vulnerabilidades afetam a instância "named" e são capazes de causar encerramento inesperado quando colocado sob certas circunstâncias estabelecidas por agentes de ameaça ou de forma aleatória. o Internet Systems Consortium (ISC), já orientou formas de contornar essas dificuldades

Compartilhar:

O Internet Systems Consortium (ISC) divulgou a existência de vulnerabilidades que afetam o BIND 9, conforme as Common Vulnerabilities and Exposures (CVE) abaixo relacionadas. O alerta de atualização foi emitido pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov):

– https://nvd.nist.gov/vuln/detail/CVE-2023-3341

– https://nvd.nist.gov/vuln/detail/CVE-2023-4236

O BIND é amplamente utilizado como servidor de nomes de domínio (DNS). Versões desatualizadas do software podem sofrer ataques de negação de serviço, impactando as operações organizacionais que dependam do DNS. A Matriz de Vulnerabilidades de Segurança do BIND 9 fornece uma lista completa de versões afetadas.

O CTIR Gov solicita às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições que identifiquem sistemas BIND 9 vulneráveis e apliquem com urgência as devidas atualizações, conforme orientações do desenvolvedor, disponíveis no site do Internet Systems Consortium (ISC).

No primeiro caso, uma falha no código de rede que manipula consultas de DNS sobre TLS pode fazer com que a categoria “named” seja encerrada inesperadamente devido a uma falha de asserção. Isso acontece quando as estruturas de dados internas são reutilizadas incorretamente sob uma carga significativa de consultas DNS-over-TLS.

Uma instância “named” vulnerável a essa falha pode ser encerrada inesperadamente quando submetida a uma carga significativa de consultas DNS-over-TLS. Essa falha não afeta o código DNS-over-HTTPS, pois ele usa uma implementação de TLS diferente.

Como modo de contornar essa vulnerabilidade, recomenda-se desativar a escuta de conexões DNS-over-TLS (removendo listen-on … tls …{ … }; da configuração), impedindo os caminhos de código afetados de serem usados, impossibilitando a exploração. No entanto, não há solução alternativa para essa falha se o suporte a DNS-over-TLS for necessário.

Já no caso da segunda vulnerabilidade, o código que processa as mensagens do canal de controle enviadas ao “named” chama determinadas funções recursivamente durante a análise de pacotes.
A profundidade da recursão é limitada apenas pelo tamanho máximo de pacote aceito. Dependendo do ambiente, isso pode fazer com que o código de análise de pacotes fique sem memória de pilha disponível, fazendo com que o named seja encerrado inesperadamente.

Como cada mensagem de entrada do canal de controle é totalmente analisada antes de seu conteúdo ser autenticado, a exploração dessa falha não exige que o invasor tenha uma chave RNDC válida; é necessário apenas o acesso à rede da porta TCP configurada do canal de controle.

Ao enviar uma mensagem especialmente criada pelo canal de controle, um invasor pode fazer com que o código de análise de pacotes fique sem memória de pilha disponível, fazendo com que o “named” seja encerrado inesperadamente. No entanto, o ataque só funciona em ambientes em que o tamanho da pilha disponível para cada processo/thread é pequeno o suficiente; o limite exato depende de vários fatores e, portanto, é impossível especificar universalmente.

Por padrão, o “named” só permite conexões de canal de controle pela interface de loopback, o que impossibilita a execução desse ataque pela rede. Ao permitir o acesso remoto à porta TCP configurada do canal de controle, deve-se ter o cuidado de limitar esse acesso a intervalos de IP confiáveis no nível da rede, impedindo efetivamente que partes não autorizadas realizem o ataque descrito nesta orientação.

O CTIR Gov adere ao padrão Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST).


Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Soluções de proteção dos usuários miram portifólio dos marketplaces internacionais

Os clientes da AWS em todo o mundo podem agora implantar o conjunto de proteção de pessoas e informações da...
Security Report | Overview

Pesquisa aponta que 36% da Indústria tem níveis altos de conscientização em Cyber

Pesquisa da Zoho revela que organizações da região, especialmente as empresas brasileiras, têm nível alto de conscientização sobre segurança digital,...
Security Report | Overview

Novas brechas expõem ameaças à sistemas Windows, Cisco e Palo Alto, diz pesquisa

Relatório elaborado pela consultoria especializada em cibersegurança também destaca o surgimento de uma campanha massiva de phishing, que tem como...
Security Report | Overview

Cibersegurança nas PMEs: Controle de senhas é primeiro desafio a se enfrentar

Na visão de especialista em direito digital, aplicar melhores práticas de governança é um dos grandes trunfos na Segurança Cibernética...