-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Prezados,

CAIS-Alerta [19/11/2020]: Vulnerabilidade em serviços de DNS

O CAIS alerta para uma recente vulnerabilidade encontrada em serviços de DNS, constatou-se que serviços de DNS Resolver hospedados em sistemas operacionais cujo bloqueio de tráfego de saída ICMP esteja habilitado sejam vulneráveis ao ataque conhecido SAD DNS. Já foram publicadas provas de conceitos sobre a exploração dessa vulnerabilidade.

DESCRIÇÃO

O ataque consiste em uma nova versão do ataque conhecido como DNS Poisoning, permitindo que um usuário não autorizado envie pacotes de sondagem em busca de portas de comunicação usadas por serviços vulneráveis e injete um registro malicioso de DNS junto ao cache de serviços de DNS recursivos, tais como BIND, Unbound, dnsmasq, e outros.

O ataque em questão depende da observação do tráfego ICMP disparado contra um DNS Resolver, visando aferir quais portas UDP são utilizadas para uma pesquisa de DNS em especial. Mesmo com o uso de recursos para não fragmentação de pacotes e uso de portas dinâmicas, é possível um atacante obter sucesso ao abusar da comunicação via ICMP, ainda que esta conte com rate limits estabelecidos, descobrindo assim a porta em uso e forjando um pacote malicioso, posteriormente encaminhado como resposta ao requisitante do serviço.

É válido dizer que esta vulnerabilidade pode ser explorada por qualquer atacante que possua conhecimento dos endereços públicos de serviços de DNS Autoritativos e Recursivos, sendo estimado que em média 35%[1] dos resolvers públicos estejam vulneráveis ao ataque SAD DNS.


SISTEMAS IMPACTADOS

 - - Sistemas Operacionais Microsoft Windows
 - - Sistemas Operacionais GNU/Linux
 - - Sistemas Operacionais MacOS


VERSÕES AFETADAS

 - - Linux 3.18-5.10;
 - - Windows Server 2019 (version 1809) e versões mais recentes;
 - - MacOS 10.15 e versões mais recentes;
 - - FreeBSD 12.1.0 e versões mais recentes.

É importante ressaltar que inexistem testes em versões posteriores dos produtos acima relacionados, portanto, entendem-se as mesmas vulneráveis ao ataque SAD DNS.


CORREÇÕES DISPONÍVEIS

 - - Desabilitar ou bloquear as mensagens do tipo "port unreachable";
 - - Promover a atualização do kernel do GNU/Linux para uma versão com rate limits aleatórios, incluído à partir da v5.10[3];
 - - Habilitar a validação de DNSSEC nos resolver/forwarders;
 - - Atualizar o serviço de DNS.


IDENTIFICADORES CVE (http://cve.mitre.org)

 - - CVE-2020-25705


MAIS INFORMAÇÕES
[1] https://www.saddns.net/
[2] https://blog.cloudflare.com/sad-dns-explained/
[3] https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b38e7819cae946e2edf869e604af1e65a5d241c5
[4] https://www.addvalue.com.br/seguranca/sad-dns/
[5] https://nvd.nist.gov/vuln/detail/CVE-2020-25705
[6] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25705

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

Atenciosamente,

CAIS/RNP

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais@cais.rnp.br       http://www.rnp.br/servicos/seguranca  #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   https://www.cais.rnp.br/cais-pgp.key  #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: OpenPGP.js v2.6.2
Comment: https://openpgpjs.org
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=hodT
-----END PGP SIGNATURE-----