Una vulnerabilidad en el software del servidor DNS BIND permitió a los atacantes interrumpir los servidores DNS al enviar paquetes maliciosos diseñados específicamente para tal fin.
Esta falla, identificada como CVE-2023-5517, podría provocar la terminación inesperada del proceso «named» (el proceso del servidor DNS BIND) con una falla de aserción. Esto ocurriría al procesar consultas específicas bajo ciertas configuraciones habilitadas.
La vulnerabilidad, detallada en las notas de la versión BIND 9.18.24, permitía a los atacantes dirigir sus ataques a servidores DNS que ejecutan el software BIND mediante consultas especialmente diseñadas. Estas consultas desencadenarían fallas de aserción cuando la función «nxdomain-redirect» estuviera activa.
Esta brecha de seguridad representó un riesgo significativo para la infraestructura DNS, ya que un ataque exitoso podría interrumpir los servicios de resolución de DNS, afectando potencialmente a miles de usuarios y sistemas dependientes.
«Consultas específicas podrían provocar que Name fallara con un error de aserción cuando se habilitaba nxdomain-redirect», confirmó el Internet Systems Consortium (ISC) en su aviso de seguridad.
Esta vulnerabilidad era particularmente preocupante porque permitía a atacantes remotos y no autenticados derribar infraestructura DNS crítica con ataques relativamente simples.
DNS sirve como guía telefónica de Internet y traduce nombres de dominio legibles por humanos en direcciones IP.
Cualquier interrupción de este servicio puede tener impactos generalizados en la disponibilidad del sitio web, la entrega de correo electrónico y otros servicios críticos de Internet.
La vulnerabilidad nxdomain-redirect no fue un problema aislado. ISC ha abordado varias otras vulnerabilidades críticas de DNS en versiones recientes.
Otra falla importante (CVE-2023-5679) involucró una “mala interacción entre DNS64 y características de servicio inactivo” que de manera similar podrían bloquear el servidor con una falla de aserción.
Más recientemente, ISC solucionó una vulnerabilidad (CVE-2024-0760) en la que “un cliente DNS malicioso que enviaba muchas consultas a través de TCP pero nunca leía las respuestas podía provocar que un servidor respondiera lentamente o no respondiera en absoluto a otros clientes”.
Esta técnica permitió efectivamente a los atacantes realizar ataques de denegación de servicio contra servidores DNS.
Además, la organización abordó problemas de inundación de DNS sobre HTTPS (CVE-2024-12705) que podrían abrumar a los servidores al tratar con clientes que envían solicitudes sin esperar respuestas.
Recomendaciones para mitigación
ISC recomienda encarecidamente que las organizaciones que ejecutan BIND actualicen a la última versión lo antes posible.
Las versiones corregidas incluyen BIND 9.18.24 o posterior para las vulnerabilidades de falla de aserción y BIND 9.18.33 o posterior para los problemas de inundación de DNS sobre HTTPS.
Para las organizaciones que no pueden actualizar de inmediato, implementar un filtrado de red para limitar el tráfico de consultas DNS de fuentes no confiables puede brindar cierta protección.
Además, deshabilitar la función nxdomain-redirect puede mitigar la vulnerabilidad específica CVE-2023-5517 hasta que sea posible aplicar parches.
Dada la creciente sofisticación de los ataques DNS, resulta crucial para la seguridad organizacional mantener programas de parcheo regulares en la infraestructura DNS.
El ISC (Internet Systems Consortium) continúa publicando actualizaciones para abordar vulnerabilidades recién descubiertas, siendo la versión más reciente BIND 9.18.371.
Los expertos en seguridad aconsejan implementar la validación DNSSEC y seguir las mejores prácticas del ISC para la configuración del servidor DNS. Esto, más allá de simplemente parchear vulnerabilidades conocidas, mejorará la postura general de seguridad de la infraestructura DNS.
