Hiệp hội Hệ thống Internet (ISC) đã phát hành các bản vá để giải quyết nhiều lỗ hổng bảo mật trong bộ phần mềm Berkeley Internet Name Domain Domain (BIND) 9 Domain Name System (DNS) có thể bị khai thác để kích hoạt điều kiện từ chối dịch vụ (DoS).
"Một tác nhân đe dọa mạng có thể khai thác một trong những lỗ hổng này để gây ra tình trạng từ chối dịch vụ", Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) cho biết trong một lời khuyên.
Danh sách bốn lỗ hổng được liệt kê dưới đây -
- CVE-2024-4076 (điểm CVSS: 7,5) - Do lỗi logic, các tra cứu kích hoạt phân phát dữ liệu cũ và yêu cầu tra cứu trong dữ liệu khu vực có thẩm quyền địa phương có thể dẫn đến lỗi xác nhận
- CVE-2024-1975 (điểm CVSS: 7.5) - Xác thực các tin nhắn DNS được ký bằng giao thức SIG (0) có thể gây ra tải CPU quá mức, dẫn đến tình trạng từ chối dịch vụ.
- CVE-2024-1737 (điểm CVSS: 7.5) - Có thể tạo ra số lượng quá lớn các loại bản ghi tài nguyên cho một tên chủ sở hữu nhất định, điều này có tác dụng làm chậm quá trình xử lý cơ sở dữ liệu
- CVE-2024-0760 (điểm CVSS: 7.5) - Một máy khách DNS độc hại gửi nhiều truy vấn qua TCP nhưng không bao giờ đọc phản hồi có thể khiến máy chủ phản hồi chậm hoặc hoàn toàn không đối với các máy khách khác
Việc khai thác thành công các lỗi nói trên có thể khiến phiên bản được đặt tên chấm dứt đột ngột, làm cạn kiệt tài nguyên CPU có sẵn, làm chậm quá trình xử lý truy vấn theo hệ số 100 và khiến máy chủ không phản hồi.
Các lỗ hổng đã được giải quyết trong BIND 9 phiên bản 9.18.28, 9.20.0 và 9.18.28-S1 được phát hành vào đầu tháng này. Không có bằng chứng cho thấy bất kỳ thiếu sót nào đã được khai thác trong tự nhiên.
Tiết lộ được đưa ra vài tháng sau khi ISC giải quyết một lỗ hổng khác trong BIND 9 được gọi là KeyTrap (CVE-2023-50387, điểm CVSS: 7,5) có thể bị lạm dụng để làm cạn kiệt tài nguyên CPU và làm đình trệ trình phân giải DNS, dẫn đến từ chối dịch vụ (DoS).