Múltiples vulnerabilidades en BIND

Se ha publicado un aviso de seguridad con múltiples vulnerabilidades en servidor DNS BIND, que permitirían a un atacante finalizar el proceso llamado named, enviar información falsa a los clientes, entre otros.

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta” y 2 (dos) de severidad “Media”. Estas son, CVE-2022-0635, CVE-2021-25220, CVE-2022-0396, que se detallan a continuación:

• CVE-2022-0635 de severidad alta, con una puntuación asignada de 7.0. Esta vulnerabilidad se refiere a que el envío de patrones repetidos de consultas específicas a servidores con los parámetros dnssec-validation y synth-from-dnssec habilitados, podrían permitir a un atacante remoto causar un fallo en el proceso named. provocandosu cierre.
• CVE-2021-25220 de severidad media, con una puntuación asignada de 6.2. Esta vulnerabilidad se debe que, al usar reenviadores (forwarders), los registros NS falsos proporcionados por el atacante pasarían almacenarse en caché.‎ La memoria caché podría envenenarse con registros incorrectos, lo que provocaría consultas a los servidores incorrectos, que permitirían a un atacante remoto dar como resultado que se devuelva información falsa a los clientes víctima.
• CVE-2022-0396 de severidad media, con una puntuación asignada de 4.9. Esta vulnerabilidad se debe a una falla en BIND que permite que streams TCP diseñados específicamente puedan hacer que las conexiones a BIND permanezcan en estado CLOSE_WAIT durante un período de tiempo indefinido, incluso después de que el cliente haya terminado la conexión.

Las versiones afectadas en BINDson:

• BIND, versiones:
• odesde 9.11.0, hasta 9.11.36;
• odesde 9.12.0, hasta 9.16.26;
• odesde 9.16.11, hasta 9.16.26;
• odesde 9.17.0, hasta 9.18.0.
• BIND Supported Preview Editions, versiones:
• odesde 9.11.4-S1, hasta 9.11.36-S1;
• odesde 9.16.8-S1, hasta 9.16.26-S1;
• odesde 9.16.11-S1 hasta 9.16.26-S1.

Las versiones de BIND 9 anteriores también están afectadas, pero no han sido probadas, ya que son consideradas obsoletas.

Recomendamos instalar las actualizaciones correspondientes provistas por ICS (Internet System Consortium), mediante el siguiente enlace:

• https://www.isc.org/download/#BIND.

Adicionalmente, el error se puede mitigar agregando la siguiente opción a named.conf:

• synth-from-dnssec no;

Sin embargo, no recomendamos deshabilitar esta característica más que como una solución temporal, ya que proporciona protección contra ataques de subdominio pseudoaleatorios contra zonas firmadas por DNSSEC.

Referencias:

• https://kb.isc.org/v1/docs/cve-2022-0635
• https://kb.isc.org/v1/docs/cve-2021-25220
• https://kb.isc.org/v1/docs/cve-2022-0396
• https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-bind-2