| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.0 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine kritische Schwachstelle in ISC BIND 9.8.1-P1 gefunden. Es geht hierbei um eine nicht näher spezifizierte Funktion der Komponente SRTT Algorithm Handler. Durch das Manipulieren mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Darüber hinaus steht ein Exploit zur Verfügung. Es empfiehlt sich, die vorgeschlagene Umgehung zu implementieren.
Details
In ISC BIND 9.8.1-P1 (Domain Name Software) wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Das betrifft ein unbekannter Codeblock der Komponente SRTT Algorithm Handler. Mit der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-269. Dies wirkt sich aus auf Vertraulichkeit und Integrität.
Die Schwachstelle wurde am 14.08.2013 durch Roee Hay, Jonathan Kalechstein und Dr. Gabi Nakibly als Subverting BIND’s SRTT Algorithm: Derandomizing NS Selection in Form eines bestätigten Blog Posts (Website) an die Öffentlichkeit getragen. Auf securityintelligence.com kann das Advisory eingesehen werden. Die Veröffentlichung wurde in Zusammenarbeit mit dem Hersteller durchgeführt. Im Advisory ist nachzulesen:
Our attack abuses non-open resolvers, i.e. NSs that do not answer on queries that they are not authoritative of. Most of the resolvers around the Internet are non-open. The attacker does not need to control them, but simply needs to know their IP address. We will see how the attacker can take leverage of them in order lower the SRTT value of an arbitrary NS to an arbitrary value on some target resolver. The attacker also hosts a malicious NS. We assume that this malicious NS is the authority of some domain, i.e. malicious.foo. Let’s also assume that we want to lower the SRTT value of one of the authoritative NSs of ibm.com. It’s important to mention that our attack does not depend on the amount of authoritative NSs the target zone has, but for the sake of simplicity, in this example, the zone has two nameservers: NS1 and NS2. We will lower the SRTT of NS2 on the target resolver, so it will be queried before NS1.Die Schwachstelle ist relativ beliebt, und dies trotz ihrer hohen Komplexität. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. MITRE ATT&CK führt die Angriffstechnik T1068 für diese Schwachstelle. Das Advisory weist darauf hin:An off-path DNS cache poisoning is an attack at which we assert that the adversary does not see the traffic between the DNS resolver and some name server (NS), but manages to poison the cache of the DNS resolver nevertheless. In order to do so, the attacker usually induces a request between the DNS resolver and the NS, and then races against the genuine DNS answer.Ein öffentlicher Exploit wurde durch Roee Hay/Jonathan Kalechstein/Dr. Gabi Nakibly geschrieben und sofort nach dem Advisory veröffentlicht. Unter securityintelligence.com wird der Exploit zum Download angeboten. Er wird als proof-of-concept gehandelt. Insgesamt 1 Tage schien es sich um eine nicht veröffentlichte Zero-Day Schwachstelle gehandelt zu haben. Während dieser Zeit erzielte er wohl etwa $25k-$100k auf dem Schwarzmarkt. Das Advisory zeigt auf:
The attack begins by first querying the resolver for some domain the malicious NS is authoritative of, e.g. 666.malicious.foo. The resolver will eventually approach the malicious NS, which replies with a DNS delegation that contains: (1) A large list of non-open resolvers, (2) The NS that we try to lower the SRTT of, NS2. We assume that NS2 was already on the SRTT cache of the resolver and was contacted prior to the attack, so its SRTT is based on some real RTT value. Since the non-open resolvers were not on the cache, they will be added with very low values between 1 and 32 microseconds according to the SRTT algorithm. This means that they will be queried before NS2 by the NS selection. The resolver will query each of them and they will refuse since they are non-open resolvers. After each query the SRTT value of NS2 will be decayed, i.e. multiplied by 0.98. The resolver will time out after 30 seconds and we can force this timeout if the amount of non-open resolvers is sufficiently large. This means that the resolver will not even get to querying NS2 and at the end of the attack the SRTT of NS2 will be 0.98^n of ist original value, where n is the amount of non-open resolvers which were queried before the timeout. Als bestmögliche Massnahme wird Workaround empfohlen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Es wurde folglich unmittelbar reagiert. Das Advisory stellt fest:
The root cause of this vulnerability is that the resolver maintains a shared cache of SRTT values. The cache is shared in the sense that a malicious NS can affect SRTT values of NSs which are not related to it. We suggest to split the cache. For example, it can be split according to the currently queried zone.Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von OSVDB (96276†) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.isc.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.4VulDB Meta Temp Score: 5.0
VulDB Base Score: 5.4
VulDB Temp Score: 5.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Autor: Roee Hay/Jonathan Kalechstein/Dr. Gabi Nakibly
Download: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: WorkaroundStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍
Timeline
12.08.2013 🔍14.08.2013 🔍
14.08.2013 🔍
14.08.2013 🔍
15.08.2013 🔍
21.03.2019 🔍
Quellen
Hersteller: isc.orgAdvisory: Subverting BIND’s SRTT Algorithm: Derandomizing NS Selection
Person: Roee Hay, Jonathan Kalechstein, Dr. Gabi Nakibly
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍
GCVE (VulDB): GCVE-100-9946
OSVDB: 96276
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 15.08.2013 12:20Aktualisierung: 21.03.2019 10:32
Anpassungen: 15.08.2013 12:20 (57), 21.03.2019 10:32 (2)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.