ISC insta a las actualizaciones de los servidores DNS para eliminar las nuevas vulnerabilidades de BIND

Las fallas de seguridad podrían conducir a una explotación remota.

El Consorcio de Sistemas de Internet (ISC) ha publicado un aviso que describe un trío de vulnerabilidades que podrían afectar la seguridad de los sistemas DNS. 

La primera vulnerabilidad se rastrea como CVE-2021-25216 y se le ha emitido una puntuación de gravedad CVSS de 8.1 (32 bits) o 7.4 (64 bits). Los actores de amenazas pueden desencadenar la falla de forma remota mediante la realización de un ataque de desbordamiento de búfer contra el mecanismo de negociación de la política de seguridad GSSAPI de BIND para el protocolo GSS-TSIG, lo que podría conducir a exploits más amplios, incluidos bloqueos y ejecución remota de código.

Sin embargo, en las configuraciones que usan la configuración predeterminada de BIND, las rutas de código vulnerables no están expuestas, a menos que los valores de un servidor (tkey-gssapi-keytab / tkey-gssapi-credential) estén configurados de otra manera. 

«Aunque la configuración predeterminada no es vulnerable, GSS-TSIG se usa con frecuencia en redes donde BIND está integrado con Samba, así como en entornos de servidores mixtos que combinan servidores BIND con controladores de dominio de Active Directory», se lee en el aviso. «Para los servidores que cumplen con estas condiciones, la implementación de ISC SPNEGO es vulnerable a varios ataques, según la arquitectura de CPU para la que se creó BIND».

La segunda falla de seguridad, CVE-2021-25215 , obtuvo una puntuación CVSS de 7.5. CVE-2021-25215 es una falla explotable de forma remota que se encuentra en la forma en que se procesan los registros DNAME y puede causar fallas en el proceso debido a afirmaciones fallidas. 

El fallo número tres, CVE-2021-25214 ,  ha emitido una puntuación CVSS de 6,5. Este problema se encontró en transferencias de zona incrementales (IXFR) y si un servidor con nombre recibe un IXFR con formato incorrecto, esto hace que el proceso con nombre se bloquee debido a una aserción fallida.

«La mayoría de las vulnerabilidades descubiertas en BIND 9 son formas de desencadenar fallas INSIST o ASSERT, que hacen que BIND salga», indica el ISC . «Cuando un usuario externo puede hacer que el proceso BIND se cierre de manera confiable, se trata de un ataque de denegación de servicio (DoS) muy eficaz. Los scripts de niñera pueden reiniciar BIND 9, pero en algunos casos, la recarga puede demorar horas y el servidor se vulnerable a que lo cierren de nuevo».