-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta 23-06-2023-Vulnerabilidades no BIND 9 Prezados(as), O CAIS alerta a comunidade de segurança cibernética para um conjunto de vulnerabilidades críticas que afetam várias versões do Berkeley Internet Name Domain (BIND) 9. O BIND 9 é amplamente utilizado em servidores de internet, servidores de rede interna de empresas e também em computadores pessoais que ajuda a traduzir os nomes de domínio para os endereços IP numéricos necessários para localizar e identificar serviços e dispositivos de computador com as redes subjacentes de protocolos . 1) Produto(s) afetado(s); 2) Identificadores CVE (http://cve.mitre.org); 3) Descrição das vulnerabilidades, versões afetadas e formas de exploração; 4) Mitigação e correções disponíveis; 5) Maiores Informações 1) Produto(s) e versões afetadas afetado(s); Produto: BIND Versões: 9.11.0 -> 9.16.41 Versões: 9.18.0 -> 9.18.15 Versões: 9.19.0 -> 9.19.13 2) Identificadores CVE (http://cve.mitre.org); CVE-2023-2828 CVE-2023-2829 CVE-2023-2911 3) Descrição das vulnerabilidades 3.1 - CVE-2023-2828 A vulnerabilidade CVE-2023-2828 é uma falha que pode ser explorada remotamente e tem um nível de gravidade alto, com um CVSS Score de 7.5. Essa vulnerabilidade oferece a capacidade de um atacante causar o consumo excessivo de memória no servidor DNS. Cada instância de 'named' do BIND, configurada para executar como um “resolver” (biblioteca no sistema operacional que fornece mecanismos para a tradução de nomes de hosts em endereços IP e vice-versa) de nomes recursivo, mantém um banco de dados de cache contendo as respostas para as consultas que enviou recentemente aos servidores autoritários. Um atacante pode, através de consultas específicas e feitas em uma ordem específica, causar uma diminuição da eficiência do algoritmo de limpeza do cache usado no 'named'. Isto permite que o limite configurado de max-cache-size seja ultrapassado. A exploração eficaz desta vulnerabilidade depende de vários fatores, mas no pior caso, o atacante pode exaurir toda a memória disponível no host que está executando o 'named', levando a uma condição de negação de serviço. 3.2 – CVE-2023-2829 A vulnerabilidade CVE-2023-2829 é uma falha que pode ser explorada remotamente e tem um nível de gravidade alto, com uma pontuação CVSS de 7.5. Esta vulnerabilidade é específica para uma configuração do BIND que utiliza o recurso " Aggressive Use of DNSSEC-Validated Cache (Uso Agressivo de Cache Validado por DNSSEC" - RFC 8198), também conhecido como synth-from-dnssec, que é habilitado por padrão em todas as versões do BIND 9.18 e 9.18-S e mais recentes. Quando esta opção está habilitada, uma instância do BIND pode ser interrompida remotamente usando uma zona com um registro NSEC malformado. Ao enviar consultas específicas para o “resolver” (biblioteca no sistema operacional que fornece mecanismos para a tradução de nomes de hosts em endereços IP e vice-versa), um atacante pode fazer com que o BIND seja interrompido inesperadamente. 3.3 – CVE-2023-2911 A vulnerabilidade CVE-2023-2911 ocorre quando o “recursive-clients quota” (cota de clientes recursivos) é atingida em um resolvedor BIND 9 configurado com as opções "stale-answer-enable yes" e "stale-answer-client-timeout 0". Isso pode causar um loop no “named” e terminar inesperadamente devido a um stack overflow (estouro de pilha). Com a exploração desta vulnerabilidade o impacto é que um atacante pode, enviando consultas específicas e em uma ordem específica, fazer com que o “named” termine inesperadamente. O CVSS Score é 7.5. 4) Mitigação e correções disponíveis; 4.1 CVE-2023-2828 Não há soluções alternativas (workarounds) conhecidas para esta vulnerabilidade. A correção recomendada é a atualização para o lançamento corrigido mais próximo da sua versão atual do BIND 9: 9.16.42, 9.18.16, 9.19.14, 9.16.42-S1, 9.18.16-S1. 4.2 CVE-2023-2829 Ajustar a opção synth-from-dnssec para 'não' previne o problema. A solução definitiva é a atualização para a versão corrigida mais próxima da versão atual do BIND 9: 9.16.42-S1, 9.18.16-S1. 4.3 CVE-2023-2911 A solução alternativa, pode-se configurar a opção "stale-answer-client-timeout" para desligada (off) ou para um valor “não zero”. A solução definitiva é atualizar para a versão corrigida do BIND 9 mais próxima da sua versão atual: 9.16.42 ou 9.18.16. Mais informações https://www.cisa.gov/news-events/alerts/2023/06/22/isc-releases-security-advisories-multiple-versions-bind-9 https://kb.isc.org/v1/docs/cve-2023-2828 https://kb.isc.org/v1/docs/cve-2023-2829 https://kb.isc.org/v1/docs/cve-2023-2911 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!! Twitter: @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br https://cais.rnp.br/ # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponível https://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: OpenPGP.js v2.6.2 Comment: https://openpgpjs.org wsFcBAEBCAAQBQJkmequCRDU96v9U5pXgAAABfcP/3gMvVrKPn5+1LhvKSYc ohpUg7pw8nMgoXYWisBPZYefjHFRBjEY4XpbzwOXXOw66zdVUrGw9syXNzs6 dnc0ABP2Xpp2mA5CE03qTNAcwBwAwDrLQaJCq1Hqi0qOB3OjkZx4lBbIM+mz gzbW1FBAMNS3RApCVPO9Lh6IEn6mIuevCe7UyYG1Vvdhie3nDdRqGZD4SEMI QZdTCwx2luopD2DM/BEsEtSQ3BoVnlzOGhoQS2twUKBpG5mnBIQJEdSgAMdV 2EQz48oQVO7DP2zDmeF4Dn9Fql6/l+r+a4p/601XdqWg6V/C34lG8JXCWr/f l25bqh8yEjTN6brTx8ZZL0DD4jRFlxXcY9fUd9/5AfKn145QLGODciK3S4n6 9uvZQjIf06H5/qNvP0QyrAFRnfCW1FoW+FEIrkyp/vbrbh78t15VWMEb75kd tMpedq8KIcwbvnBGJMuomRzmBI5u1K1AIgKSATPtKc3qlxyg85Sh8avBSlTu csCU9WIDpV0LI6Z9zYgnduyx69P/Jm6BRMZCqCsu7Q/D1nVdrNxrGKOVsokC hJ8tog7bWIdYyoaxqU/FWvtRFvu+YhUA9iki3wSb9+r0Gy9IvB0ZF3hSUnGa qFtKdoDClfro3cdoiku4cLR6DrYo1AxVoLXw/SRBjT6+Ip+MmO1oqEhc7QMM 0SHK =6Wpa -----END PGP SIGNATURE-----