El Consorcio de Sistemas de Internet (ISC) ha publicado un aviso que describe un trío de vulnerabilidades que podrían afectar la seguridad de los sistemas DNS.
Esta semana, la organización dijo que las vulnerabilidades afectan al ISC Berkeley Internet Name Domain (BIND) 9, ampliamente utilizado como sistema DNS y mantenido como un proyecto de código abierto.
La primera vulnerabilidad se rastrea como CVE-2021-25216 y se le ha emitido una puntuación de gravedad CVSS de 8.1 (32 bits) o 7.4 (64 bits). Los actores de amenazas pueden desencadenar de forma remota la falla mediante la realización de un ataque de desbordamiento de búfer contra el mecanismo de negociación de la política de seguridad GSSAPI de BIND para el protocolo GSS-TSIG, lo que podría conducir a exploits más amplios, incluidos bloqueos y ejecución remota de código.
Sin embargo, en las configuraciones que utilizan la configuración predeterminada de BIND, las rutas de código vulnerables no están expuestas, a menos que los valores de un servidor (tkey-gssapi-keytab / tkey-gssapi-credential) estén configurados de otra manera.
“Aunque la configuración predeterminada no es vulnerable, GSS-TSIG se usa con frecuencia en redes donde BIND está integrado con Samba, así como en entornos de servidores mixtos que combinan servidores BIND con controladores de dominio de Active Directory”, se lee en el aviso. “Para los servidores que cumplen estas condiciones, la implementación de ISC SPNEGO es vulnerable a varios ataques, dependiendo de la arquitectura de CPU para la que se creó BIND”.
La segunda falla de seguridad, CVE-2021-25215 , obtuvo una puntuación CVSS de 7.5. CVE-2021-25215 es una falla explotable de forma remota que se encuentra en la forma en que se procesan los registros DNAME y puede causar fallas en el proceso debido a afirmaciones fallidas.
El error menos peligroso, registrado como CVE-2021-25214 , recibió una puntuación CVSS de 6.5. Este problema se encontró en transferencias de zona incrementales (IXFR) y si un servidor con nombre recibe un IXFR con formato incorrecto, esto hace que el proceso con nombre se bloquee debido a una afirmación fallida.
El ISC no tiene conocimiento de ningún exploit activo para ninguno de los errores.
Las vulnerabilidades en BIND se tratan con seriedad, ya que solo puede ser necesario un error, explotado con éxito, para causar una interrupción generalizada de los servicios.
“La mayoría de las vulnerabilidades descubiertas en BIND 9 son formas de desencadenar fallas INSIST o ASSERT, que hacen que BIND salga”, dice el ISC . “Cuando un usuario externo puede hacer que el proceso BIND se cierre de manera confiable, se trata de un ataque de denegación de servicio (DoS) muy eficaz. Los scripts de niñera pueden reiniciar BIND 9, pero en algunos casos, la recarga puede demorar horas y el servidor está vulnerable a que lo cierren de nuevo “.
Los suscriptores son notificados de las fallas de seguridad antes de la divulgación pública, y si no se han aplicado parches para el último trío de vulnerabilidades, las correcciones deben emitirse lo más rápido posible.
BIND 9.11.31, 9.16.15 y 9.17.12 contienen parches y se debe aplicar la actualización adecuada.
CISA también ha emitido una alerta sobre los problemas de seguridad.
En otras noticias de seguridad esta semana, Microsoft ha revelado operaciones de asignación de memoria defectuosas en el código utilizado en Internet de las cosas (IoT) y tecnologías industriales, con una gama de vulnerabilidades clasificadas bajo el nombre “BadAlloc”. Microsoft está trabajando con el Departamento de Seguridad Nacional de EE. UU. (DHS) para alertar a los proveedores afectados.