[bsa_pro_ad_space id=3 delay=8]

CTIR Gov alerta para brechas de proteção encontradas no BIND 9

Ambas as vulnerabilidades afetam a instância "named" e são capazes de causar encerramento inesperado quando colocado sob certas circunstâncias estabelecidas por agentes de ameaça ou de forma aleatória. o Internet Systems Consortium (ISC), já orientou formas de contornar essas dificuldades

Compartilhar:

O Internet Systems Consortium (ISC) divulgou a existência de vulnerabilidades que afetam o BIND 9, conforme as Common Vulnerabilities and Exposures (CVE) abaixo relacionadas. O alerta de atualização foi emitido pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov):

– https://nvd.nist.gov/vuln/detail/CVE-2023-3341

– https://nvd.nist.gov/vuln/detail/CVE-2023-4236

O BIND é amplamente utilizado como servidor de nomes de domínio (DNS). Versões desatualizadas do software podem sofrer ataques de negação de serviço, impactando as operações organizacionais que dependam do DNS. A Matriz de Vulnerabilidades de Segurança do BIND 9 fornece uma lista completa de versões afetadas.

O CTIR Gov solicita às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições que identifiquem sistemas BIND 9 vulneráveis e apliquem com urgência as devidas atualizações, conforme orientações do desenvolvedor, disponíveis no site do Internet Systems Consortium (ISC).

No primeiro caso, uma falha no código de rede que manipula consultas de DNS sobre TLS pode fazer com que a categoria “named” seja encerrada inesperadamente devido a uma falha de asserção. Isso acontece quando as estruturas de dados internas são reutilizadas incorretamente sob uma carga significativa de consultas DNS-over-TLS.

Uma instância “named” vulnerável a essa falha pode ser encerrada inesperadamente quando submetida a uma carga significativa de consultas DNS-over-TLS. Essa falha não afeta o código DNS-over-HTTPS, pois ele usa uma implementação de TLS diferente.

Como modo de contornar essa vulnerabilidade, recomenda-se desativar a escuta de conexões DNS-over-TLS (removendo listen-on … tls …{ … }; da configuração), impedindo os caminhos de código afetados de serem usados, impossibilitando a exploração. No entanto, não há solução alternativa para essa falha se o suporte a DNS-over-TLS for necessário.

Já no caso da segunda vulnerabilidade, o código que processa as mensagens do canal de controle enviadas ao “named” chama determinadas funções recursivamente durante a análise de pacotes.
A profundidade da recursão é limitada apenas pelo tamanho máximo de pacote aceito. Dependendo do ambiente, isso pode fazer com que o código de análise de pacotes fique sem memória de pilha disponível, fazendo com que o named seja encerrado inesperadamente.

Como cada mensagem de entrada do canal de controle é totalmente analisada antes de seu conteúdo ser autenticado, a exploração dessa falha não exige que o invasor tenha uma chave RNDC válida; é necessário apenas o acesso à rede da porta TCP configurada do canal de controle.

Ao enviar uma mensagem especialmente criada pelo canal de controle, um invasor pode fazer com que o código de análise de pacotes fique sem memória de pilha disponível, fazendo com que o “named” seja encerrado inesperadamente. No entanto, o ataque só funciona em ambientes em que o tamanho da pilha disponível para cada processo/thread é pequeno o suficiente; o limite exato depende de vários fatores e, portanto, é impossível especificar universalmente.

Por padrão, o “named” só permite conexões de canal de controle pela interface de loopback, o que impossibilita a execução desse ataque pela rede. Ao permitir o acesso remoto à porta TCP configurada do canal de controle, deve-se ter o cuidado de limitar esse acesso a intervalos de IP confiáveis no nível da rede, impedindo efetivamente que partes não autorizadas realizem o ataque descrito nesta orientação.

O CTIR Gov adere ao padrão Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST).


Conteúdos Relacionados

Security Report | Overview

Polícia Federal deflagra operação contra invasão aos sistemas do TSE

Foram cumpridos seis mandados de busca e apreensão nas cidades de Belo Horizonte/MG, São Paulo/SP, São Miguel do Gostoso/RN e...
Security Report | Overview

Microsoft segue como marca mais usada em golpes, alerta laboratório

Novo estudo da Cisco Talos revela as 30 marcas globais mais usadas por hackers criminosos para ataques por e-mail. Nesse...
Security Report | Overview

Cibercriminosos são detectados fazendo ofertas falsas de trabalho no LinkedIn

Através de ferramentas de inteligência de código aberto (OSINT), criminosos recolhem informações pessoais de usuários, candidatos e recrutadores nas redes...
Security Report | Overview

Pesquisa mostra que IA é prioridade para maioria dos profissionais em todo o mundo

Os resultados do relatório d Check Point revelaram que 91% veem a adoção da inteligência artificial como uma prioridade tendo...