İnternet Sistemleri Konsorsiyumu (ISC), Berkeley İnternet Adı Alanı (BIND) 9 Alan Adı Sistemi (DNS) yazılım paketindeki, hizmet reddi (DoS) durumunu tetiklemek için istismar edilebilecek birden fazla güvenlik açığını gidermek üzere yamalar yayınladı.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), yayınladığı bir duyuruda, “Bir siber tehdit aktörü, bu güvenlik açıklarından birini kullanarak hizmet reddi durumuna neden olabilir” ifadelerini kullandı.
Dört güvenlik açığının listesi aşağıda listelenmiştir –
- CVE-2024-4076 (CVSS puanı: 7,5) – Bir mantık hatası nedeniyle, eski verilerin sunulmasını tetikleyen ve yerel yetkili bölge verilerinde aramalar gerektiren aramalar bir doğrulama hatasıyla sonuçlanabilirdi
- CVE-2024-1975 (CVSS puanı: 7,5) – SIG(0) protokolü kullanılarak imzalanan DNS mesajlarının doğrulanması aşırı CPU yüküne neden olabilir ve bu da hizmet reddi durumuna yol açabilir.
- CVE-2024-1737 (CVSS puanı: 7,5) – Belirli bir sahip adı için aşırı sayıda kaynak kayıt türü oluşturmak mümkündür; bu da veritabanı işlemlerini yavaşlatma etkisine sahiptir
- CVE-2024-0760 (CVSS puanı: 7,5) – TCP üzerinden birçok sorgu gönderen ancak yanıtları asla okumayan kötü amaçlı bir DNS istemcisi, bir sunucunun diğer istemciler için yavaş yanıt vermesine veya hiç yanıt vermemesine neden olabilir
Yukarıda belirtilen hataların başarılı bir şekilde istismar edilmesi, adlandırılmış bir örneğin beklenmedik şekilde sonlanmasına, kullanılabilir CPU kaynaklarının tükenmesine, sorgu işlemenin 100 kat yavaşlamasına ve sunucunun yanıt vermemesine neden olabilir.
Kusurlar, bu ayın başlarında yayınlanan BIND 9 sürümleri 9.18.28, 9.20.0 ve 9.18.28-S1’de giderildi. Eksikliklerden herhangi birinin doğada istismar edildiğine dair bir kanıt yok.
Bu açıklama, ISC’nin BIND 9’daki KeyTrap (CVE-2023-50387, CVSS puanı: 7,5) adı verilen ve CPU kaynaklarını tüketmek ve DNS çözücülerini durdurmak için kötüye kullanılabilen ve hizmet reddi (DoS) ile sonuçlanabilen başka bir açığı ele almasından aylar sonra geldi.