
<div dir="ltr"><div class="gmail_quote">

-----BEGIN PGP SIGNED MESSAGE-----<br>

Hash: SHA256<br>

<br>

Prezados,<br>

<br>

CAIS-Alerta [19/11/2020]: Vulnerabilidade em serviços de DNS<br>

<br>

O CAIS alerta para uma recente vulnerabilidade encontrada em serviços de DNS, constatou-se que serviços de DNS Resolver hospedados em sistemas operacionais cujo bloqueio de tráfego de saída ICMP esteja habilitado sejam vulneráveis ao ataque conhecido SAD DNS. Já foram publicadas provas de conceitos sobre a exploração dessa vulnerabilidade.<br>

<br>

DESCRIÇÃO<br>

<br>

O ataque consiste em uma nova versão do ataque conhecido como DNS Poisoning, permitindo que um usuário não autorizado envie pacotes de sondagem em busca de portas de comunicação usadas por serviços vulneráveis e injete um registro malicioso de DNS junto ao cache de serviços de DNS recursivos, tais como BIND, Unbound, dnsmasq, e outros.<br>

<br>

O ataque em questão depende da observação do tráfego ICMP disparado contra um DNS Resolver, visando aferir quais portas UDP são utilizadas para uma pesquisa de DNS em especial. Mesmo com o uso de recursos para não fragmentação de pacotes e uso de portas dinâmicas, é possível um atacante obter sucesso ao abusar da comunicação via ICMP, ainda que esta conte com rate limits estabelecidos, descobrindo assim a porta em uso e forjando um pacote malicioso, posteriormente encaminhado como resposta ao requisitante do serviço.<br>

<br>

É válido dizer que esta vulnerabilidade pode ser explorada por qualquer atacante que possua conhecimento dos endereços públicos de serviços de DNS Autoritativos e Recursivos, sendo estimado que em média 35%[1] dos resolvers públicos estejam vulneráveis ao ataque SAD DNS.<br>

<br>

<br>

SISTEMAS IMPACTADOS<br>

<br>

 - - Sistemas Operacionais Microsoft Windows<br>

 - - Sistemas Operacionais GNU/Linux<br>

 - - Sistemas Operacionais MacOS<br>

<br>

<br>

VERSÕES AFETADAS<br>

<br>

 - - Linux 3.18-5.10;<br>

 - - Windows Server 2019 (version 1809) e versões mais recentes;<br>

 - - MacOS 10.15 e versões mais recentes;<br>

 - - FreeBSD 12.1.0 e versões mais recentes.<br>

<br>

É importante ressaltar que inexistem testes em versões posteriores dos produtos acima relacionados, portanto, entendem-se as mesmas vulneráveis ao ataque SAD DNS.<br>

<br>

<br>

CORREÇÕES DISPONÍVEIS<br>

<br>

 - - Desabilitar ou bloquear as mensagens do tipo "port unreachable";<br>

 - - Promover a atualização do kernel do GNU/Linux para uma versão com rate limits aleatórios, incluído à partir da v5.10[3];<br>

 - - Habilitar a validação de DNSSEC nos resolver/forwarders;<br>

 - - Atualizar o serviço de DNS.<br>

<br>

<br>

IDENTIFICADORES CVE (<a href="http://cve.mitre.org" rel="noreferrer" target="_blank">http://cve.mitre.org</a>)<br>

<br>

 - - CVE-2020-25705<br>

<br>

<br>

MAIS INFORMAÇÕES<br>

[1] <a href="https://www.saddns.net/" rel="noreferrer" target="_blank">https://www.saddns.net/</a><br>

[2] <a href="https://blog.cloudflare.com/sad-dns-explained/" rel="noreferrer" target="_blank">https://blog.cloudflare.com/sad-dns-explained/</a><br>

[3] <a href="https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b38e7819cae946e2edf869e604af1e65a5d241c5" rel="noreferrer" target="_blank">https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b38e7819cae946e2edf869e604af1e65a5d241c5</a><br>

[4] <a href="https://www.addvalue.com.br/seguranca/sad-dns/" rel="noreferrer" target="_blank">https://www.addvalue.com.br/seguranca/sad-dns/</a><br>

[5] <a href="https://nvd.nist.gov/vuln/detail/CVE-2020-25705" rel="noreferrer" target="_blank">https://nvd.nist.gov/vuln/detail/CVE-2020-25705</a><br>

[6] <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25705" rel="noreferrer" target="_blank">https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25705</a><br>

<br>

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.<br>

<br>

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!<br>

Twitter: @caisRNP<br>

Facebook: <a href="http://facebook.com/RedeNacionaldeEnsinoePesquisaRNP" rel="noreferrer" target="_blank">facebook.com/RedeNacionaldeEnsinoePesquisaRNP</a>.<br>

<br>

Atenciosamente,<br>

<br>

CAIS/RNP<br>

<br>

################################################################<br>

#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #<br>

#       Rede Nacional de Ensino e Pesquisa (RNP)               #<br>

#                                                              #<br>

# <a href="mailto:cais@cais.rnp.br" target="_blank">cais@cais.rnp.br</a>       <a href="http://www.rnp.br/servicos/seguranca" rel="noreferrer" target="_blank">http://www.rnp.br/servicos/seguranca</a>  #<br>

# Tel. 019-37873300      Fax. 019-37873301                     #<br>

# Chave PGP disponivel   <a href="https://www.cais.rnp.br/cais-pgp.key" rel="noreferrer" target="_blank">https://www.cais.rnp.br/cais-pgp.key</a>  #<br>

################################################################<br>

-----BEGIN PGP SIGNATURE-----<br>

Version: OpenPGP.js v2.6.2<br>

Comment: <a href="https://openpgpjs.org" rel="noreferrer" target="_blank">https://openpgpjs.org</a><br>

<br>

wsFcBAEBCAAQBQJftpplCRB83qA0uPj0mAAAaVsP/ifVX9tucOoWZJhpgoOZ<br>

aSMlJlMl7byS+INACcEEgaO9EfJlCQpzqZ0rs3ax6Kmg2aAF2ZSx1hDOUQ96<br>

KZBu0qm4mgMiczk99M8tupfbJ7Mnv0twrxxjVXkypgK+G6VDTZCoKvaPdaEl<br>

aI7QMA7QsqAfu2ZMCTg2HrpIBXBdBYLI3hdpLICwZKTiJni9CBZfYO/gQGGz<br>

XejPFYftPytOoVjh+2s2XVm5mswTNoqBlRHY1z1L3OX/eYrNh6el2jMoILJB<br>

JeoyiqYvHnG5HvF6dKj3wj3+miB3LmuhrrbqHEWTPKsDuiX1ja6FrRwKJquQ<br>

vIfU07SCgj31Oz/wtbTBRazJPrwgSLIHqOGdhJQPwnaDCzDRyAdly1QPMOwi<br>

3tUaQ9r+jsmyk4aKmeLnBIH7bYpHt2tLgXZVReCjaca/vY4EWrhYMUy1Ilbe<br>

ShEPsWAXigcr1T3gk4IElSceDU8PRftMkWNXO0uDUsG46s2LHiR5dwC0RMHk<br>

9nc+lyg79vRzJXY+Z7E+QombRFRLhTqJ5qLpRKus+3RrspVsS2W1SW4XVz8l<br>

QhcK9RndZ8WkwKXfiYznK06jNX5/HF8txK7/OJsBYUghWX2K0D+BfedBoUaW<br>

+waTAVkd08uKmsLy4Stbi4oy7orCJNSVjqXC/LWQCKf4uZiL4PyrqGez5eGI<br>

VpFB<br>

=hodT<br>

-----END PGP SIGNATURE-----<br>

_______________________________________________<br>

RNP-Alerta<br>

<a href="mailto:rnp-alerta@listas.rnp.br" target="_blank">rnp-alerta@listas.rnp.br</a><br>

<a href="https://listas.rnp.br/mailman/listinfo/rnp-alerta" rel="noreferrer" target="_blank">https://listas.rnp.br/mailman/listinfo/rnp-alerta</a></div><div class="gmail_quote"><br></div><div class="gmail_quote"><br clear="all"><div><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>===</div><div>Computer Security Incident Response Team - CSIRT</div><div>Universidade Estadual de Campinas - Unicamp</div><div>Centro de Computacao - CCUEC</div><div>GnuPG Public Key: <a href="http://www.security.unicamp.br/security.asc" target="_blank">http://www.security.unicamp.br/security.asc</a> [^]</div><div>Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830</div></div></div></div>

</div></div>