2.1 CVE-2011-5056

Patch Malware Risk (MITRE)

El servidor autorizado en MaraDNS a través de 2.0.04 calcula valores hash para datos DNS sin restringir la capacidad de desencadenar colisiones hash de manera predecible, lo que podría permitir a los usuarios locales causar una denegación de servicio (consumo de CPU) a través de registros elaborados en archivos de zona, una vulnerabilidad diferente que CVE-2012-0024.
https://nvd.nist.gov/vuln/detail/CVE-2011-5056

Categorías

CWE-400 : Consumo incontrolado de recursos
El producto no controla adecuadamente la asignación y el mantenimiento de un recurso limitado, lo que permite a un actor influir en la cantidad de recursos consumidos, provocando finalmente el agotamiento de los recursos disponibles. Ciertas técnicas automatizadas de análisis dinámico pueden ser eficaces para detectar problemas de agotamiento de recursos, especialmente con recursos como procesos, memoria y conexiones. La técnica puede implicar la generación de un gran número de peticiones al producto en un corto espacio de tiempo. Aunque el fuzzing suele estar orientado a la búsqueda de errores de implementación de bajo nivel, puede encontrar inadvertidamente problemas de agotamiento de recursos. Esto puede ocurrir cuando el fuzzer genera un gran número de casos de prueba pero no reinicia el producto objetivo entre los casos de prueba. Si un caso de prueba individual produce un fallo, pero no lo hace de forma fiable, entonces la causa puede ser una incapacidad para gestionar el agotamiento de recursos. Diseñar mecanismos de estrangulamiento en la arquitectura del sistema. La mejor protección es limitar la cantidad de recursos que un usuario no autorizado puede hacer gastar. Un modelo sólido de autenticación y control de acceso ayudará a evitar que se produzcan este tipo de ataques. La aplicación de inicio de sesión debe estar protegida contra ataques DoS en la medida de lo posible. Limitar el acceso a la base de datos, quizás almacenando en caché los conjuntos de resultados, puede ayudar a minimizar los recursos gastados. Para limitar aún más la posibilidad de un ataque DoS, considere la posibilidad de realizar un seguimiento de la tasa de solicitudes recibidas de los usuarios y bloquear las solicitudes que superen un umbral de tasa definido. Asegúrese de que los protocolos tienen límites de escala específicos. Asegúrese de que todos los fallos en la asignación de recursos sitúan al sistema en una posición segura. Cadena: La biblioteca Python no limita los recursos utilizados para procesar imágenes que especifican un número muy elevado de bandas (CWE-1284), lo que provoca un consumo excesivo de memoria (CWE-789) o un desbordamiento de enteros (CWE-190). El orquestador de cargas de trabajo basado en Go no limita el uso de recursos con conexiones no autenticadas, lo que permite una DoS inundando el servicio Agotamiento de recursos en SO distribuidos debido a una gestión de colas IGMP "insuficiente", como se ha explotado in the wild según CISA KEV. El producto permite a los atacantes provocar una caída a través de un gran número de conexiones. Una solicitud malformada desencadena una recursión incontrolada, lo que provoca el agotamiento de la pila. Cadena: fuga de memoria (CWE-404) que provoca el agotamiento de los recursos. El controlador no utiliza una anchura máxima al invocar funciones del estilo de sscanf, lo que provoca el consumo de la pila. Un valor entero grande para una propiedad de longitud en un objeto provoca una gran cantidad de asignación de memoria. El cortafuegos de aplicaciones web consume demasiada memoria cuando una solicitud HTTP contiene un valor Content-Length grande pero no datos POST. El producto permite el agotamiento de los descriptores de archivo al procesar un gran número de paquetes TCP. El producto de comunicación permite el consumo de memoria con un gran número de peticiones SIP, que provocan la creación de muchas sesiones. La implementación de TCP permite a los atacantes consumir CPU e impedir nuevas conexiones mediante un ataque de inundación TCP SYN. El escaneo de puertos provoca un consumo de CPU con procesos que intentan leer datos de sockets cerrados. Product permite a los atacantes provocar una denegación de servicio a través de un gran número de directivas, cada una de las cuales abre una ventana independiente. El producto permite el agotamiento de recursos a través de un gran número de llamadas que no completan un apretón de manos de 3 vías. El servidor de correo no gestiona correctamente los mensajes MIME multiparte anidados en profundidad, lo que provoca el agotamiento de la pila. Cadena: el producto antivirus encuentra un archivo malformado, pero regresa de una función sin cerrar un descriptor de archivo (CWE-775), lo que provoca el consumo del descriptor de archivo (CWE-400) y fallos en los análisis.

Referencias

CONFIRM Patch

http://samiam.org/blog/20111229.html Patch Third Party Advisory

SECTRACK

1026820 Third Party Advisory VDB Entry

XF

maradns-server-dos(72258) Third Party Advisory VDB Entry

CPE

cpe	iniciar	fin
Configuration 1
cpe:2.3:a:maradns:maradns::::::::		<= 2.0.04

REMEDIACIÓN

Patch

Url
http://samiam.org/blog/20111229.html

EXPLOTA

Exploit-db.com

id	descripción	fecha
No hay exploits conocidos

Otros (github, ...)

Url
No hay exploits conocidos

CAPEC

Common Attack Pattern Enumerations and Classifications

id	descripción	gravedad
147	XML Ping de la Muerte Un atacante inicia un ataque de agotamiento de recursos en el que un gran número de pequeños mensajes XML se entregan a un ritmo lo suficientemente rápido como para causar una denegación de servicio o una caída del objetivo. Las transacciones, como las transacciones SOAP repetitivas, pueden agotar los recursos más rápidamente que un simple ataque de inundación debido a los recursos adicionales utilizados por el protocolo SOAP y los recursos necesarios para procesar los mensajes SOAP. Las transacciones utilizadas son irrelevantes siempre que provoquen la utilización de recursos en el objetivo. En otras palabras, se trata de un ataque de inundación normal aumentado por el uso de mensajes que requerirán un procesamiento adicional en el objetivo. [Inspeccionar el objetivo] Utilizando un navegador o una herramienta automatizada, un atacante registra todas las instancias de los servicios web para procesar las peticiones XML. [Lanzar un ataque de agotamiento de recursos] El atacante envía un gran número de pequeños mensajes XML a las URLs del objetivo encontradas en la fase de exploración a un ritmo suficientemente rápido. Provoca una denegación de servicio a la aplicación objetivo.	Medio
227	Compromiso sostenido de los clientes Un adversario intenta negar a los usuarios legítimos el acceso a un recurso mediante el uso continuo de un recurso específico en un intento de mantenerlo bloqueado el mayor tiempo posible. El objetivo principal del adversario no es colapsar o inundar el objetivo, lo que alertaría a los defensores; más bien es realizar repetidamente acciones o abusar de los defectos algorítmicos de tal manera que un recurso dado esté atado y no esté disponible para un usuario legítimo. Mediante la elaboración cuidadosa de peticiones que mantienen el recurso ocupado a través de lo que son peticiones aparentemente benignas, los usuarios legítimos ven limitado o denegado por completo el acceso al recurso.
492	Expresión regular de explosión exponencial Un adversario puede ejecutar un ataque a un programa que utiliza una mala implementación de Expresiones Regulares (Regex) eligiendo una entrada que resulte en una situación extrema para la Regex. Una situación extrema típica opera en un tiempo exponencial comparado con el tamaño de la entrada. Esto se debe a que la mayoría de las implementaciones utilizan una máquina de estado de autómata finito no determinista (NFA) para ser construida por el algoritmo Regex, ya que NFA permite el backtracking y por lo tanto expresiones regulares más complejas.

MITRE

Técnicas

id	descripción
T1499	Denegación de servicio en puntos finales
© 2022 The MITRE Corporation. Esta obra se reproduce y distribuye con el permiso de The MITRE Corporation.

Mitigación

id	descripción
T1499	Aproveche los servicios proporcionados por las redes de distribución de contenidos (CDN) o los proveedores especializados en mitigación de ataques DoS para filtrar el tráfico ascendente de los servicios. Filtre el tráfico fronterizo bloqueando las direcciones de origen que originan el ataque, bloqueando los puertos atacados o bloqueando los protocolos utilizados para el transporte. Para defenderse de las inundaciones SYN, active las cookies SYN.
© 2022 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.

Sherlock® flash

Haz una foto de tu red informática en unos pocos clics !

La solución de auditoría Sherlock® flash le permite realizar una auditoría para reforzar la seguridad de sus activos informáticos. Escaneo de vulnerabilidad de sus equipos físicos y virtuales. Planificación de parches por nivel de prioridad y tiempo disponible. Informes detallados e intuitivos.

Descubra esta oferta

Sherlock® flash: primera solución de auditoría de ciberseguridad instantánea