El Consorcio de Sistemas de Internet (ISC) ha publicado parches para abordar múltiples vulnerabilidades de seguridad en el dominio de nombres de Internet de Berkeley (UNIR) 9 Paquete de software del Sistema de nombres de dominio (DNS) que podría explotarse para desencadenar una condición de denegación de servicio (DoS).
«Un actor de amenazas cibernéticas podría explotar una de estas vulnerabilidades para provocar una condición de denegación de servicio», advirtió la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA). dicho en un aviso.
A continuación se muestra la lista de cuatro vulnerabilidades:
- CVE-2024-4076 (Puntuación CVSS: 7,5) – Debido a un error lógico, las búsquedas que activaron la entrega de datos obsoletos y requirieron búsquedas en datos de la zona autorizada local podrían haber resultado en una falla de afirmación.
- CVE-2024-1975 (Puntuación CVSS: 7,5) – La validación de mensajes DNS firmados mediante el protocolo SIG(0) podría provocar una carga excesiva de la CPU, lo que daría lugar a una condición de denegación de servicio.
- CVE-2024-1737 (Puntuación CVSS: 7,5) – Es posible crear cantidades excesivamente grandes de tipos de registros de recursos para un nombre de propietario determinado, lo que tiene el efecto de ralentizar el procesamiento de la base de datos.
- CVE-2024-0760 (Puntuación CVSS: 7,5): un cliente DNS malintencionado que envió muchas consultas a través de TCP pero nunca leyó las respuestas podría provocar que un servidor responda lentamente o no responda en absoluto a otros clientes.
La explotación exitosa de los errores mencionados anteriormente podría provocar que una instancia nombrada finalice inesperadamente, agote los recursos de CPU disponibles, ralentice el procesamiento de consultas en un factor de 100 y deje que el servidor no responda.
Las fallas se han solucionado en las versiones 9.18.28, 9.20.0 y 9.18.28-S1 de BIND 9, publicadas a principios de este mes. No hay evidencia de que alguna de las deficiencias haya sido explotada.
La revelación se produce meses después de que el ISC abordara otra falla en BIND 9 llamada KeyTrap (CVE-2023-50387, puntuación CVSS: 7,5) que podría usarse indebidamente para agotar los recursos de la CPU y detener los solucionadores de DNS, lo que resulta en una denegación de servicio (DoS).