2.1 CVE-2011-5056

Patch Malware Risk (MITRE)

Il server autorevole in MaraDNS fino alla versione 2.0.04 calcola i valori hash per i dati DNS senza limitare la capacità di attivare collisioni hash in modo prevedibile, il che potrebbe consentire agli utenti locali di causare un Denial of Service (consumo della CPU) tramite record predisposti nei file di zona, una vulnerabilità diversa rispetto a CVE-2012-0024.
https://nvd.nist.gov/vuln/detail/CVE-2011-5056

Categorie

CWE-400 : Consumo di risorse incontrollato
Il prodotto non controlla correttamente l'allocazione e il mantenimento di una risorsa limitata, consentendo così a un attore di influenzare la quantità di risorse consumate, portando infine all'esaurimento delle risorse disponibili. Alcune tecniche di analisi dinamica automatizzata possono essere efficaci per individuare i problemi di esaurimento delle risorse, in particolare per quanto riguarda risorse quali processi, memoria e connessioni. La tecnica può comportare la generazione di un gran numero di richieste al prodotto in un breve lasso di tempo. Sebbene il fuzzing sia tipicamente orientato a trovare bug di implementazione di basso livello, può inavvertitamente trovare problemi di esaurimento delle risorse. Ciò può accadere quando il fuzzer genera un gran numero di casi di test, ma non riavvia il prodotto in questione tra un caso di test e l'altro. Se un singolo caso di test produce un crash, ma non lo fa in modo affidabile, la causa potrebbe essere l'incapacità di gestire l'esaurimento delle risorse. Progettare meccanismi di throttling nell'architettura del sistema. La migliore protezione consiste nel limitare la quantità di risorse che un utente non autorizzato può far consumare. Un modello di autenticazione e di controllo degli accessi forte aiuterà a evitare che tali attacchi si verifichino in primo luogo. L'applicazione di login deve essere protetta il più possibile dagli attacchi DoS. Limitare l'accesso al database, magari mettendo in cache i set di risultati, può aiutare a ridurre al minimo le risorse impiegate. Per limitare ulteriormente il potenziale di un attacco DoS, si può prendere in considerazione la possibilità di monitorare il tasso di richieste ricevute dagli utenti e di bloccare le richieste che superano una soglia di tasso definita. Assicurarsi che i protocolli abbiano limiti di scala specifici. Assicurarsi che tutti i fallimenti nell'allocazione delle risorse mettano il sistema in una posizione di sicurezza. Catena: La libreria Python non limita le risorse utilizzate per elaborare immagini che specificano un numero molto elevato di bande (CWE-1284), causando un consumo eccessivo di memoria (CWE-789) o un overflow di numeri interi (CWE-190). L'orchestratore di carichi di lavoro basato su Go non limita l'utilizzo delle risorse con connessioni non autenticate, consentendo un DoS tramite l'inondazione del servizio Esaurimento delle risorse nel sistema operativo distribuito a causa della gestione delle code IGMP "insufficiente", come sfruttato in natura per CISA KEV. Il prodotto consente agli aggressori di causare un arresto anomalo tramite un numero elevato di connessioni. Una richiesta malformata innesca una ricorsione incontrollata che porta all'esaurimento dello stack. Catena: perdita di memoria (CWE-404) che porta all'esaurimento delle risorse. Il driver non utilizza una larghezza massima quando si invocano funzioni di tipo sscanf, causando il consumo dello stack. Un valore intero di grandi dimensioni per una proprietà length in un oggetto causa un'allocazione di memoria eccessiva. Il firewall per applicazioni Web consuma una quantità eccessiva di memoria quando una richiesta HTTP contiene un valore di Content-Length elevato ma nessun dato POST. Il prodotto consente l'esaurimento dei descrittori di file durante l'elaborazione di un numero elevato di pacchetti TCP. Il prodotto di comunicazione consente il consumo di memoria con un numero elevato di richieste SIP, che causano la creazione di molte sessioni. L'implementazione TCP consente agli aggressori di consumare CPU e impedire nuove connessioni utilizzando un attacco TCP SYN flood. La scansione delle porte provoca un consumo di CPU con processi che tentano di leggere dati da socket chiusi. Il prodotto consente agli aggressori di causare una negazione del servizio tramite un gran numero di direttive, ognuna delle quali apre una finestra separata. Il prodotto consente l'esaurimento delle risorse tramite un numero elevato di chiamate che non completano un handshake a tre vie. Il server di posta non gestisce correttamente i messaggi MIME multiparte profondamente annidati, con conseguente esaurimento dello stack. Catena: il prodotto antivirus incontra un file malformato ma ritorna da una funzione senza chiudere un descrittore di file (CWE-775) con conseguente consumo del descrittore di file (CWE-400) e scansioni non riuscite.

Riferimenti

CONFIRM Patch

http://samiam.org/blog/20111229.html Patch Third Party Advisory

SECTRACK

1026820 Third Party Advisory VDB Entry

XF

maradns-server-dos(72258) Third Party Advisory VDB Entry

CPE

cpe	avviare	fine
Configuration 1
cpe:2.3:a:maradns:maradns::::::::		<= 2.0.04

RIMEDIO

Patch

Url
http://samiam.org/blog/20111229.html

EXPLOITS

Exploit-db.com

id	descrizione	data
Nessuna impresa nota

Altro (github, ...)

Url
Nessuna impresa nota

CAPEC

Common Attack Pattern Enumerations and Classifications

id	descrizione	gravità
147	XML Ping della morte Un aggressore inizia un attacco di esaurimento delle risorse in cui un gran numero di piccoli messaggi XML sono consegnati ad un ritmo sufficientemente rapido da causare un denial of service o un crash dell'obiettivo. Le transazioni come le transazioni SOAP ripetitive possono esaurire le risorse più velocemente di un semplice attacco flooding a causa delle risorse aggiuntive utilizzate dal protocollo SOAP e delle risorse necessarie per elaborare i messaggi SOAP. Le transazioni utilizzate sono irrilevanti, purché causino l'utilizzo di risorse sul bersaglio. In altre parole, questo è un normale attacco di flooding aumentato dall'utilizzo di messaggi che richiederanno un'elaborazione extra sul bersaglio. [Rilevare l'obiettivo] Utilizzando un browser o uno strumento automatizzato, un attaccante registra tutte le istanze dei servizi web per elaborare le richieste XML. [Lanciare un attacco di esaurimento delle risorse] L'attaccante consegna un gran numero di piccoli messaggi XML agli URL di destinazione trovati nella fase di esplorazione ad un ritmo sufficientemente rapido. Provoca il denial of service all'applicazione di destinazione.	Media
227	Impegno sostenuto del cliente Un avversario tenta di negare agli utenti legittimi l'accesso a una risorsa impegnando continuamente una risorsa specifica nel tentativo di tenerla vincolata il più a lungo possibile. L'obiettivo primario dell'avversario non è quello di mandare in crash o inondare l'obiettivo, cosa che allerterebbe i difensori; piuttosto è quello di eseguire ripetutamente azioni o abusare di difetti algoritmici tali che una data risorsa sia vincolata e non disponibile per un utente legittimo. Creando con cura le richieste che mantengono la risorsa impegnata attraverso ciò che è apparentemente benigno, gli utenti legittimi sono limitati o completamente negato l'accesso alla risorsa.
492	Espressione regolare Esponenziale Ingrandimento Un avversario può eseguire un attacco a un programma che utilizza una scarsa implementazione di Regular Expression (Regex) scegliendo un input che risulta in una situazione estrema per il Regex. Una tipica situazione estrema opera in tempo esponenziale rispetto alla dimensione dell'input. Questo è dovuto alla maggior parte delle implementazioni che utilizzano una macchina a stati Nondeterministic Finite Automaton(NFA) per essere costruita dall'algoritmo Regex poiché NFA permette il backtracking e quindi espressioni regolari più complesse.

MITRE

Tecniche

id	descrizione
T1499	Negazione del servizio agli endpoint
© 2022 The MITRE Corporation. Questo lavoro è riprodotto e distribuito con il permesso di The MITRE Corporation.

Mitigazioni

id	descrizione
T1499	Sfruttare i servizi forniti dalle reti di distribuzione dei contenuti (CDN) o dai fornitori specializzati in mitigazioni DoS per filtrare il traffico a monte dei servizi. Filtrare il traffico di confine bloccando gli indirizzi di origine dell'attacco, bloccando le porte prese di mira o bloccando i protocolli utilizzati per il trasporto. Per difendersi dai SYN flood, attivare i SYN cookie.
© 2022 The MITRE Corporation. Questo lavoro è riprodotto e distribuito con il permesso di The MITRE Corporation.

Sherlock® flash

Fotografate la vostra rete di computer in pochi clic !

La soluzione di audit Sherlock® flash consente di eseguire un audit per rafforzare la sicurezza delle risorse IT. Scansione delle vulnerabilità delle apparecchiature fisiche e virtuali. Pianificazione delle patch in base al livello di priorità e al tempo disponibile. Reporting dettagliato e intuitivo.

Scopri questa offerta

Sherlock® flash: la prima soluzione di audit istantaneo della cybersecurity