[SECURITY-L] [RNP/CAIS Alerta #0056] Vulnerabilidade em serviços de DNS

CSIRT Unicamp security em unicamp.br
Quinta Novembro 19 13:28:23 -03 2020 

 -----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Prezados,

CAIS-Alerta [19/11/2020]: Vulnerabilidade em serviços de DNS

O CAIS alerta para uma recente vulnerabilidade encontrada em serviços de
DNS, constatou-se que serviços de DNS Resolver hospedados em sistemas
operacionais cujo bloqueio de tráfego de saída ICMP esteja habilitado sejam
vulneráveis ao ataque conhecido SAD DNS. Já foram publicadas provas de
conceitos sobre a exploração dessa vulnerabilidade.

DESCRIÇÃO

O ataque consiste em uma nova versão do ataque conhecido como DNS
Poisoning, permitindo que um usuário não autorizado envie pacotes de
sondagem em busca de portas de comunicação usadas por serviços vulneráveis
e injete um registro malicioso de DNS junto ao cache de serviços de DNS
recursivos, tais como BIND, Unbound, dnsmasq, e outros.

O ataque em questão depende da observação do tráfego ICMP disparado contra
um DNS Resolver, visando aferir quais portas UDP são utilizadas para uma
pesquisa de DNS em especial. Mesmo com o uso de recursos para não
fragmentação de pacotes e uso de portas dinâmicas, é possível um atacante
obter sucesso ao abusar da comunicação via ICMP, ainda que esta conte com
rate limits estabelecidos, descobrindo assim a porta em uso e forjando um
pacote malicioso, posteriormente encaminhado como resposta ao requisitante
do serviço.

É válido dizer que esta vulnerabilidade pode ser explorada por qualquer
atacante que possua conhecimento dos endereços públicos de serviços de DNS
Autoritativos e Recursivos, sendo estimado que em média 35%[1] dos
resolvers públicos estejam vulneráveis ao ataque SAD DNS.


SISTEMAS IMPACTADOS

 - - Sistemas Operacionais Microsoft Windows
 - - Sistemas Operacionais GNU/Linux
 - - Sistemas Operacionais MacOS


VERSÕES AFETADAS

 - - Linux 3.18-5.10;
 - - Windows Server 2019 (version 1809) e versões mais recentes;
 - - MacOS 10.15 e versões mais recentes;
 - - FreeBSD 12.1.0 e versões mais recentes.

É importante ressaltar que inexistem testes em versões posteriores dos
produtos acima relacionados, portanto, entendem-se as mesmas vulneráveis ao
ataque SAD DNS.


CORREÇÕES DISPONÍVEIS

 - - Desabilitar ou bloquear as mensagens do tipo "port unreachable";
 - - Promover a atualização do kernel do GNU/Linux para uma versão com rate
limits aleatórios, incluído à partir da v5.10[3];
 - - Habilitar a validação de DNSSEC nos resolver/forwarders;
 - - Atualizar o serviço de DNS.


IDENTIFICADORES CVE (http://cve.mitre.org)

 - - CVE-2020-25705


MAIS INFORMAÇÕES
[1] https://www.saddns.net/
[2] https://blog.cloudflare.com/sad-dns-explained/
[3]
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b38e7819cae946e2edf869e604af1e65a5d241c5
[4] https://www.addvalue.com.br/seguranca/sad-dns/
[5] https://nvd.nist.gov/vuln/detail/CVE-2020-25705
[6] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25705

O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da
RNP. Siga-nos!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

Atenciosamente,

CAIS/RNP

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.rnp.br/servicos/seguranca  #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   https://www.cais.rnp.br/cais-pgp.key  #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: OpenPGP.js v2.6.2
Comment: https://openpgpjs.org
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=hodT
-----END PGP SIGNATURE-----
_______________________________________________
RNP-Alerta
rnp-alerta em listas.rnp.br
https://listas.rnp.br/mailman/listinfo/rnp-alerta


===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20201119/b8e19aa9/attachment.html>

Mais detalhes sobre a lista de discussão SECURITY-L