Segurança

BIND: Servidores DNS estão vulneráveis

O ISC (Internet Systems Consortium), uma organização americana dedicada ao suporte à infraestrutura da Internet, fez um comunicado sobre três vulnerabilidades que podem afetar a segurança dos sistemas de DNS.

Primeiro: O que é DNS? É de comer?

Quando você digita www.google.com.br em seu navegador (no computador, tablet, smartphone, na geladeira…), existe um serviço por trás que resolve o endereço www.google.com.br para um endereço IP, que está relacionado com o local onde o site desejado está hospedado.

Esta resolução de nomes amigáveis para endereços IP é feita pelo serviço de DNS (Domain Name System). O que é mais fácil lembrar: o endereço IP 142.250.219.3 ou o endereço www.google.com.br? Já sabe a resposta não é mesmo?

Continuando: as vulnerabilidades nos sistemas de DNS

Na semana passada, o ISC alertou que as vulnerabilidades impactam o BIND 9, amplamente utilizado como um sistema de DNS e mantido como um projeto de código aberto.

A primeira vulnerabilidade está catalogada como CVE-2021-25216 e possui uma gravidade CVSS de 8,1 ou 7,4. Os atacantes podem explorar a falha remotamente ao executar um ataque de estouro de buffer contra o mecanismo de política de segurança GSSAPI do BIND para o protocolo GSS-TSIG, levando a outras explorações, incluindo travamentos e execução remota de código.

No entanto, em configurações padrão do BIND, os caminhos dos códigos vulneráveis não são expostos, a menos que os valores de um servidor (tkey-gssapi-keytab / tkey-gssapi-credential) sejam configurados de outra forma.

“Embora a configuração padrão não seja vulnerável, o GSS-TSIG é frequentemente usado em redes onde o BIND é integrado ao Samba, bem como em ambientes de servidores mistos que combinam servidores BIND com controladores de domínios Active Directory”, diz o comunicado. “Para servidores que atendem a essas condições, a implementação ISC SPNEGO é vulnerável a vários ataques, dependendo da arquitetura de CPU para qual o BIND foi construído.”

A segunda vulnerabilidade, sob a CVE-2021-25215, obteve uma pontuação CVSS de 7,5. É uma falha que explora a maneira como os registros DNAME são processados e pode causar travamentos de processos devido a declarações falhas.

A terceira vulnerabilidade, menos perigosa, catalogada como CVE-2021-25214, recebeu uma pontuação CVSS de 6,5. A vulnerabilidade foi encontrada nas transferências de zona incrementais (IXFR) e se um servidor receber um IXFR malformado. Isso faria com que o processo nomeado travasse devido a uma declaração falhada.

O ISC não tem conhecimento de nenhuma exploração em curso de qualquer uma das vulnerabilidades.

Vulnerabilidades no BINS são tratadas com seriedade, pois basta apenas uma falha ser explorada com sucesso para causar uma interrupção generalizada dos serviços.

A maioria das vulnerabilidades descobertas no BIND 9 estão relacionadas com falhas INSIST ou ASSERT, que fazem com que o processo do BIND seja encerrado”, disse o ISC. “Quando um usuário externo tem a capacidade de fazer com que o processo do BIND seja encerrado de maneira confiável, isso pode ser considerado como um ataque de negação de serviço (DoS) bastante eficaz. Os scripts “Nanny” podem reiniciar o BIND 9, mas em alguns casos esse processo pode levar horas para iniciar o processo e o servidor ficará vulnerável a ser reiniciado/desligado.”

Versões afetadas conforme o CVE

CVE-2021-2516

BIND 9.5.0 -> 9.11.29, 9.12.0 -> 9.16.13, e versões do BIND 9.11.3-S1 -> 9.11.29-S1 e versões 9.16.8-S1 -> 9.16.13-S1 do BIND Supported Preview Edition, bem como o release das versões 9.17.0 -> 9.17.1 do branch de desenvolvimento do BIND 9.17.

CVE-2021-25215

BIND 9.0.0 -> 9.11.29, 9.12.0 -> 9.16.13, e versões do BIND 9.9.3-S1 -> 9.11.29-S1 e versões 9.16.8-S1 -> 9.16.13-S1 do BIND Supported Preview Edition, bem como o release das versões 9.17.0 -> 9.17.11 do branch de desenvolvimento do BIND 9.17.

CVE-2021-25214

BIND 9.8.5 -> 9.8.8, 9.9.3 -> 9.11.29, 9.12.0 -> 9.16.13, e versões do BIND 9.9.3-S1 -> 9.11.29-S1 e versões 9.16.8-S1 -> 9.16.13-S1 do BIND 9 Supported Preview Edition, bem como o release das versões 9.17.0 -> 9.17.11 do branch de desenvolvimento do BIND 9.17.

O que fazer?

A versões vulneráveis citadas acima devem ser atualizadas para o BIND 9.11.31, 9.16.15 ou 9.17.12 conforme versão do release em uso.

A CISA também emitiu um alerta sobre as questões de segurança.

Fonte:

ISC urges updates of DNS servers to wipe out new BIND vulnerabilities | ZDNet

Como é que "cê" tá hoje?

Animado(a)
0
Feliz
0
Apaixonado(a)
0
Não tenho certeza
0
Bobo(a)
0
Next Article:

0 %