O Web Programs Consortium (ISC) lançou patches para corrigir diversas vulnerabilidades de segurança no pacote de software program do Sistema de Nomes de Domínio (DNS) Berkeley Web Identify Area (BIND) 9 que podem ser exploradas para acionar uma condição de negação de serviço (DoS).
“Um agente de ameaça cibernética pode explorar uma dessas vulnerabilidades para causar uma condição de negação de serviço”, disse a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) em um comunicado.
A lista de quatro vulnerabilidades está listada abaixo –
- CVE-2024-4076 (pontuação CVSS: 7,5) – Devido a um erro de lógica, as pesquisas que acionaram o fornecimento de dados obsoletos e pesquisas necessárias em dados de zona autoritativa native podem ter resultado em uma falha de asserção
- CVE-2024-1975 (pontuação CVSS: 7,5) – A validação de mensagens DNS assinadas usando o protocolo SIG(0) pode causar carga excessiva da CPU, levando a uma condição de negação de serviço.
- CVE-2024-1737 (pontuação CVSS: 7,5) – É possível criar um número excessivamente grande de tipos de registros de recursos para um determinado nome de proprietário, o que tem o efeito de tornar o processamento do banco de dados mais lento
- CVE-2024-0760 (pontuação CVSS: 7,5) – Um cliente DNS malicioso que envia muitas consultas por TCP, mas nunca lê as respostas, pode fazer com que um servidor responda lentamente ou não responda para outros clientes
A exploração bem-sucedida dos bugs mencionados acima pode fazer com que uma instância nomeada seja encerrada inesperadamente, esgotando os recursos de CPU disponíveis, tornando o processamento de consultas mais lento em um fator de 100 e deixando o servidor sem resposta.
As falhas foram corrigidas nas versões 9.18.28, 9.20.0 e 9.18.28-S1 do BIND 9, lançadas no início deste mês. Não há evidências de que qualquer uma das deficiências tenha sido explorada na natureza.
A divulgação ocorre meses após o ISC abordar outra falha no BIND 9 chamada KeyTrap (CVE-2023-50387, pontuação CVSS: 7,5), que poderia ser usada para esgotar recursos da CPU e paralisar os resolvedores de DNS, resultando em negação de serviço (DoS).
