Falhas críticas no software DNS BIND 9
25 de Julho de 2024

O Internet Systems Consortium (ISC) lançou patches para corrigir múltiplas vulnerabilidades de segurança no conjunto de software Domain Name System (DNS) do Berkeley Internet Name Domain (BIND) 9, que poderiam ser exploradas para provocar uma condição de negação de serviço (DoS).

"Um ator de ameaça cibernética poderia explorar uma dessas vulnerabilidades para causar uma condição de negação de serviço", disse a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) em um comunicado.

A lista das quatro vulnerabilidades é apresentada a seguir:

- CVE-2024-4076 (pontuação CVSS: 7.5) - Devido a um erro lógico, buscas que acionavam a entrega de dados antigos e demandavam buscas em dados de zona autoritativa local poderiam resultar em uma falha de asserção.

- CVE-2024-1975 (pontuação CVSS: 7.5) - Validar mensagens DNS assinadas usando o protocolo SIG(0) poderia causar carga excessiva de CPU, levando a uma condição de negação de serviço.

- CVE-2024-1737 (pontuação CVSS: 7.5) - É possível criar um número excessivamente grande de tipos de registros de recursos para um dado nome de proprietário, o que tem o efeito de desacelerar o processamento de banco de dados.

- CVE-2024-0760 (pontuação CVSS: 7.5) - Um cliente DNS malicioso que enviava muitas consultas via TCP, mas nunca lia as respostas, poderia fazer com que um servidor respondesse lentamente ou não respondesse de todo para outros clientes.

A exploração bem-sucedida dos bugs mencionados poderia causar o término inesperado de uma instância nomeada, esgotar os recursos de CPU disponíveis, desacelerar o processamento de consulta por um fator de 100 e tornar o servidor não responsivo.

As falhas foram corrigidas nas versões 9.18.28, 9.20.0 e 9.18.28-S1 do BIND 9 lançadas no início deste mês.

Não há evidências de que qualquer das deficiências tenha sido explorada no mundo real.

A divulgação vem meses depois de o ISC abordar outra falha no BIND 9 chamada KeyTrap ( CVE-2023-50387 , pontuação CVSS: 7.5) que poderia ser abusada para esgotar os recursos da CPU e paralisar os resolvedores DNS, resultando em uma condição de negação de serviço (DoS).

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...