SK-CERT Bezpečnostné varovanie V20240219-05
Dôležitosť | Vysoká |
Klasifikácia | Neutajované/TLP:CLEAR |
CVSS Skóre |
7.5 |
Identifikátor |
DNSSEC protokol (BIND9,WinServer,PoweDNS,Cloudflare,Google,OpenDNS a ďalšie) – dve bezpečnostné zraniteľnosti |
Popis |
Bezpečnostní výskumníci zverejnili informácie o dvoch bezpečnostných zraniteľnostiach protokolu DNSSEC. Protokol DNSSEC využívajú mimo iné softvérové implementácie BIND9, PoweDNS Recursor, Windows Server 2022 a 2019, služby Cloudflare, Google, OpenDNS, nástroje kzonecheck a named-checkzone, ako aj knižnice dnspython a ldns. Bezpečnostná zraniteľnosť s označením CVE-2023-50387 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne upravených paketov spôsobiť zneprístupnenie služby. Bezpečnostná zraniteľnosť s označením CVE-2023-50868 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorenej požiadavky spôsobiť zneprístupnenie služby. |
Dátum prvého zverejnenia varovania |
13.2.2024 |
CVE |
CVE-2023-50387, CVE-2023-50868 |
IOC |
– |
Zasiahnuté systémy |
Akamai CacheServe BIND9 Knot Resolver PowerDNS Recursor Unbound Windows Server 2022 Windows Server 2019 unwind (from OpenBSD7.3) Technitium dnsmasq 2.80 stubby 0.4.3 Cloudflare OpenDNS Quad9 delv 9.16.1 DNSViz 0.9.4 (latest) ldns-verify-zone kzonechek named-checkzone dnspython getdns ldns libunbound |
Následky |
Zneprístupnenie služby |
Odporúčania |
Administrátorom a používateľom odporúčame zabezpečiť, aby DNS server poskytoval neaktuálne údaje v prípade, keď sa DNS záznam nepodarí včas overiť, alebo dočasne vypnúť DNSSEC overovanie. Poskytovanie neaktuálnych údajov na zlepšenie odolnosti DNS bolo navrhnuté v RFC8767 (navrhovaný štandard z roku 2020). Overte si preto, či aktuálna verzia vášho produktu podporuje tento štandard. Dočasné vypnutie overovania DNSSEC v resolveroch znemožní vykonanie útoku. Zároveň však vystaví klientov a DNS prekladače hrozbe otravy vyrovnávacej pamäte DNS (cache poisoning) a celkovo zníži bezpečnosť systému DNS. Bližšie podrobnosti ohľadom možností mitigácie možno nájsť v časti „VII. THE PATH TO MITIGATIONS“ na odkaze TU |
Zdroje |
https://www.athene-center.de/fileadmin/content/PDF/Keytrap_2401.pdf https://www.athene-center.de/en/news/press/key-trap |
« Späť na zoznam