El Internet Systems Consortium (ISC) ha lanzado un aviso que advierte sobre nuevas vulnerabilidades que afectan a los sistemas DNS. Tres vulnerabilidades afectan a un proyecto de código abierto ISC Berkeley Internet Name Domain (BIND) 9, ampliamente utilizado como un sistema DNS. Al explotar cualquiera de estos errores, un atacante puede causar una interrupción generalizada de los servicios.
CVE-2021-25216 es una vulnerabilidad de desbordamiento de búfer remoto. Un actor de amenazas puede lanzar un ataque contra el mecanismo de negociación de directivas de seguridad GSSAPI para el protocolo GSS-TSIG en BIND y potencialmente obtener la capacidad de causar más bloqueos y realizar la ejecución remota de código. Esta vulnerabilidad se ha emitido una puntuación de gravedad CVSS de 8,1 (32 bits) o 7,4 (64 bits).
Vale la pena señalar que en las configuraciones que usan la configuración bind predeterminada no se exponen rutas de acceso de código vulnerables. Se exponen cuando se establecen los valores de un servidor (tkey-gssapi-keytab/tkey-gssapi-credential).
El segundo error (CVE-2021-25215) existe debido a la forma en que se procesan los registros DNAME. Al explotarlo, el atacante remoto puede provocar bloqueos de proceso debido a aserciones con errores. La puntuación CVSS de 7,5 se asignó a esta vulnerabilidad.
El tercer defecto (CVE-2021-25214) afecta a una transferencia de zona incremental (IXFR). Un atacante puede enviar un IXFR con formato incorrecto a un servidor con nombre y hacer que el proceso con nombre se bloquee debido a una aserción con errores. Se ha emitido una puntuación CVSS de 6,5 para esta vulnerabilidad.
El ISC no es consciente de ninguna explotación activa para cualquiera de estas vulnerabilidades. Se recomienda encarecidamente implementar versiones BIND 9.11.31, 9.16.15 y 9.17.12 que contengan parches para los tres errores.
ISC recommends updating DNS servers to fix new BIND vulnerabilities (cybersecurity-help.cz)
