Una advertencia ha sido emitida por el Internet Systems Consortium (ISC) sobre una vulnerabilidad grave que podría ser aprovechada en los ataques de DoS en el software BIND de código abierto. La vulnerabilidad fue descubierta por el investigador de seguridad de Tony Finch, de la Universidad de Cambridge, y ha sido identificado como CVE-2018-5740.
Descripción oficial del CVE-2018-5740
“negar-respuesta-alias” Se pretende una característica poco utilizado para ayudar a los operadores de servidores recursivos protegen a los usuarios finales contra ataques de revinculación DNS, un método potencial de eludir el modelo de seguridad utilizado por los navegadores cliente. Sin embargo, un defecto en esta característica hace que sea fácil, cuando la función está en uso, experimentar un error de aserción en INSISTAN name.c.
¿Cuál es el impacto de la CVE-2018-5740?
activación accidental o deliberada de la falla se describe conducirá a un error de aserción INSIST en nombre, haciendo que el proceso de llamado a detener la ejecución y dando como resultado la denegación de servicio a los clientes, ISC explicado en un aviso. Sólo los servidores que han permitido explícitamente la “negar-respuesta-alias” de características están en riesgo. Así, deshabilitar la función de prevención de la explotación, la organización añadió.
Para contrarrestar el exploit, “la mayoría de los operadores no tendrán que realizar ningún cambio a menos que utilicen el “negar-respuesta-alias” característica (que se describe en el BIND 9 Adminstrator sección manual de referencia 6.2.) “negar-respuesta-alias” está desactivada por defecto; únicas configuraciones que permiten explícitamente que pueden ser afectados por este defecto“.
Más acerca del software BIND
BIND es un software de código abierto que permite a los individuos a publicar su Domain Name System (DNS) información en Internet, y resolver las consultas DNS para sus usuarios. En cuanto al significado de la abreviatura, BIND es sinónimo de “Berkeley Internet Name Domain”. Históricamente, el software se originó a principios de 1980 en la Universidad de California en Berkeley. Parece que es el software de servidor DNS más ampliamente adoptado en el Internet. Esta amplia adopción puede haber creado una condición previa para que los atacantes explotan varias versiones del software.
Más específicamente, ISC informó que las siguientes versiones de BIND se ven afectados por CVE-2018-5740:
versiones 9.7.0 — 9.8.8, 9.9.0 — 9.9.13, 9.10.0 — 9.10.8, 9.11.0 — 9.11.4, 9.12.0 — 9.12.2, y 9.13.0 — 9.13.2.
Afortunadamente, no se conocen exploits activos de la vulnerabilidad. Como solución, esta vulnerabilidad se puede evitar mediante la desactivación de la “negar-respuesta-alias” característica, en caso de que se esté utilizando.
En 2016, investigadores de Trend Micro desenterraron otra vulnerabilidad de vinculación que se conoce como CVE-2016-2776. Esta vulnerabilidad podría ser activado cuando un servidor DNS construye una respuesta a una consulta forjado en el que el tamaño de la respuesta cruza el tamaño de respuesta DNS por defecto (512). ISC rápidamente resuelto dos funciones vulnerables (dns_message_renderbegin () y dns_message_rendersection() ) para corregir la vulnerabilidad. A pesar de la rápida reacción, La falla fue explotada activamente en los ataques.