VDB-9946 · OSVDB 96276 · GCVE-100-9946

ISC BIND 9.8.1-P1 SRTT Algorithm Elevação de Privilégios

CVSS Meta Pontuação TemporáriaPreço atual do exploit (≈)Nota de Interesse CTI
5.0$0-$5k0.00

Sumárioinformação

Uma vulnerabilidade foi encontrada em ISC BIND 9.8.1-P1 e classificada como crítico. O impacto ocorre em uma função desconhecida no componente SRTT Algorithm Handler. A utilização pode causar Elevação de Privilégios. Adicionalmente, há um exploit disponível. É aconselhável aplicar a solução alternativa sugerida.

Detalhesinformação

Uma vulnerabilidade foi encontrada em ISC BIND 9.8.1-P1 e classificada como crítico. O impacto ocorre em uma função desconhecida no componente SRTT Algorithm Handler. A utilização pode causar Elevação de Privilégios. A definição de CWE para a vulnerabilidade é CWE-269. A falha foi publicada 14/08/2013 por Roee Hay, Jonathan Kalechstein and Dr. Gabi Nakibly como Subverting BIND’s SRTT Algorithm: Derandomizing NS Selection como Blog Post (Site). O aviso pode ser baixado em securityintelligence.com. A disponibilidade pública foi coordenada em cooperação com o vendedor. O relatório traz:

Our attack abuses non-open resolvers, i.e. NSs that do not answer on queries that they are not authoritative of. Most of the resolvers around the Internet are non-open. The attacker does not need to control them, but simply needs to know their IP address. We will see how the attacker can take leverage of them in order lower the SRTT value of an arbitrary NS to an arbitrary value on some target resolver. The attacker also hosts a malicious NS. We assume that this malicious NS is the authority of some domain, i.e. malicious.foo. Let’s also assume that we want to lower the SRTT value of one of the authoritative NSs of ibm.com. It’s important to mention that our attack does not depend on the amount of authoritative NSs the target zone has, but for the sake of simplicity, in this example, the zone has two nameservers: NS1 and NS2. We will lower the SRTT of NS2 on the target resolver, so it will be queried before NS1.

Não existem detalhes técnicos acessíveis. A popularidade dessa vulnerabilidade é superior à média. Adicionalmente, há um exploit disponível. O exploit foi tornado público e pode ser usado. Neste momento, o preço atual de um exploit pode ser cerca de USD $0-$5k agora. O projecto MITRE ATT&CK utiliza a técnica de ataque T1068 para esta edição. O aviso aponta:

An off-path DNS cache poisoning is an attack at which we assert that the adversary does not see the traffic between the DNS resolver and some name server (NS), but manages to poison the cache of the DNS resolver nevertheless. In order to do so, the attacker usually induces a request between the DNS resolver and the NS, and then races against the genuine DNS answer.

Foi declarado como prova de conceito. A exploração é partilhada para download em securityintelligence.com. Esperamos que o dia 0 tenha valido aproximadamente $25k-$100k. O aconselhamento aponta para o seguinte:

The attack begins by first querying the resolver for some domain the malicious NS is authoritative of, e.g. 666.malicious.foo. The resolver will eventually approach the malicious NS, which replies with a DNS delegation that contains: (1) A large list of non-open resolvers, (2) The NS that we try to lower the SRTT of, NS2. We assume that NS2 was already on the SRTT cache of the resolver and was contacted prior to the attack, so its SRTT is based on some real RTT value. Since the non-open resolvers were not on the cache, they will be added with very low values between 1 and 32 microseconds according to the SRTT algorithm. This means that they will be queried before NS2 by the NS selection. The resolver will query each of them and they will refuse since they are non-open resolvers. After each query the SRTT value of NS2 will be decayed, i.e. multiplied by 0.98. The resolver will time out after 30 seconds and we can force this timeout if the amount of non-open resolvers is sufficiently large. This means that the resolver will not even get to querying NS2 and at the end of the attack the SRTT of NS2 will be 0.98^n of ist original value, where n is the amount of non-open resolvers which were queried before the timeout.

É aconselhável aplicar a solução alternativa sugerida. O boletim apresenta a seguinte observação:

The root cause of this vulnerability is that the resolver maintains a shared cache of SRTT values. The cache is shared in the sense that a malicious NS can affect SRTT values of NSs which are not related to it. We suggest to split the cache. For example, it can be split according to the currently queried zone.

Produtoinformação

Tipo

Fabricante

Nome

Versão

Licença

Site

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 5.4
VulDB Meta Pontuação Temporária: 5.0

VulDB Pontuação Base: 5.4
VulDB Pontuação Temporária: 5.0
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv2informação

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplexidadeAutenticaçãoConfidencialidadeIntegridadeDisponibilidade
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

Exploraçãoinformação

Classe: Elevação de Privilégios
CWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Acesso: Público
Estado: Prova de conceito
Autor: Roee Hay/Jonathan Kalechstein/Dr. Gabi Nakibly
Descarregar: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HojeDesbloquearDesbloquearDesbloquearDesbloquear

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: Solução alternativa
Estado: 🔍

Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍
Tempo de atraso de exploração: 🔍

Linha do tempoinformação

12/08/2013 🔍
14/08/2013 +1 dias 🔍
14/08/2013 +0 dias 🔍
14/08/2013 +0 dias 🔍
15/08/2013 +1 dias 🔍
21/03/2019 +2044 dias 🔍

Fontesinformação

Fabricante: isc.org

Aconselhamento: Subverting BIND’s SRTT Algorithm: Derandomizing NS Selection
Pessoa: Roee Hay, Jonathan Kalechstein, Dr. Gabi Nakibly
Estado: Confirmado
Confirmação: 🔍
Coordenado: 🔍

GCVE (VulDB): GCVE-100-9946
OSVDB: 96276

scip Labs: https://www.scip.ch/en/?labs.20161013

Entradainformação

Criado: 15/08/2013 12h20
Atualizado: 21/03/2019 10h32
Ajustamentos: 15/08/2013 12h20 (57), 21/03/2019 10h32 (2)
Completo: 🔍
Cache ID: 216:ECD:103

Discussão

Ainda sem comentários. Idiomas: pt + es + en.

Por favor, inicie sessão para comentar.

VoltarVisão GeralPróximo

Interested in the pricing of exploits?

See the underground prices here!