2.1 CVE-2011-5056

Patch

O servidor autoritativo em MaraDNS até 2.0.04 calcula valores de hash para dados DNS sem restringir a capacidade de acionar colisões de hash de forma previsível, o que pode permitir que usuários locais causem uma negação de serviço (consumo de CPU) por meio de registros criados em arquivos de zona, uma vulnerabilidade diferente do que CVE-2012-0024.
https://nvd.nist.gov/vuln/detail/CVE-2011-5056

Categorias

CWE-400 : Consumo descontrolado de recursos
O produto não controla adequadamente a atribuição e manutenção de um recurso limitado, permitindo assim que um actor influencie a quantidade de recursos consumidos, levando eventualmente ao esgotamento dos recursos disponíveis. Certas técnicas de análise dinâmica automatizada podem ser eficazes na detecção de problemas de esgotamento de recursos, especialmente com recursos como processos, memória e ligações. A técnica pode envolver a geração de um grande número de pedidos para o produto num curto espaço de tempo. Embora o fuzzing seja tipicamente orientado para encontrar bugs de implementação de baixo nível, pode encontrar inadvertidamente problemas de exaustão de recursos. Isto pode ocorrer quando o fuzzer gera um grande número de casos de teste, mas não reinicia o produto visado entre os casos de teste. Se um caso de teste individual produz uma falha, mas não o faz de forma fiável, então a causa pode ser a incapacidade de lidar com a exaustão de recursos. Mecanismos de estrangulamento da concepção na arquitectura do sistema. A melhor protecção é limitar a quantidade de recursos que um utilizador não autorizado pode causar para ser gasta. Um forte modelo de autenticação e controlo de acesso ajudará a evitar que tais ataques ocorram em primeiro lugar. A aplicação de login deve ser protegida contra ataques DoS tanto quanto possível. A limitação do acesso à base de dados, talvez através de conjuntos de resultados em cache, pode ajudar a minimizar os recursos despendidos. Para limitar ainda mais o potencial de um ataque de DoS, considerar o rastreio da taxa de pedidos recebidos dos utilizadores e o bloqueio de pedidos que excedam um limiar de taxa definido. Assegurar que os protocolos têm limites de escala específicos colocados. Assegurar que todas as falhas na atribuição de recursos colocam o sistema numa postura segura. Cadeia: A biblioteca Python não limita os recursos utilizados para processar imagens que especificam um número muito grande de bandas (CWE-1284), levando a um consumo excessivo de memória (CWE-789) ou a um transbordo de números inteiros (CWE-190). O orquestrador de carga de trabalho com base em Go- não limita a utilização de recursos com ligações não autenticadas, permitindo uma DoS por inundação do serviço Esgotamento de recursos em OS distribuídos devido a uma gestão de filas IGMP "insuficiente", tal como explorada na natureza por CISA KEV. O produto permite que os atacantes causem um colapso através de um grande número de ligações. O pedido malformado desencadeia uma recorrência descontrolada, levando à exaustão do empilhamento. Cadeia: fuga de memória (CWE-404) leva à exaustão de recursos. O condutor não utiliza uma largura máxima ao invocar funções estilo sscanf, provocando o consumo da pilha. Um grande valor inteiro para uma propriedade de comprimento num objecto causa uma grande quantidade de alocação de memória. A firewall da aplicação Web consome memória excessiva quando um pedido HTTP contém um grande valor Content-Length mas sem dados POST. O produto permite o esgotamento dos descritores de ficheiro ao processar um grande número de pacotes TCP. O produto de comunicação permite o consumo de memória com um grande número de pedidos SIP, o que provoca a criação de muitas sessões. A implementação TCP permite aos atacantes consumir CPU e evitar novas ligações utilizando um ataque de inundação TCP SYN. O scan de portas desencadeia o consumo de CPU com processos que tentam ler dados de soquetes fechados. O produto permite aos atacantes causar uma negação de serviço através de um grande número de directivas, cada uma das quais abre uma janela separada. O produto permite o esgotamento de recursos através de um grande número de chamadas que não completam um aperto de mão de 3 vias. O servidor de correio não lida adequadamente com mensagens MIME de várias partes profundamente aninhadas, levando ao esgotamento do empilhamento. Cadeia: produto anti-vírus encontra um ficheiro mal formado mas regressa de uma função sem fechar um descritor de ficheiro (CWE-775), levando ao consumo do descritor de ficheiro (CWE-400) e a verificações falhadas.

Referências

CONFIRM Patch

http://samiam.org/blog/20111229.html Patch Third Party Advisory

SECTRACK

1026820 Third Party Advisory VDB Entry

XF

maradns-server-dos(72258) Third Party Advisory VDB Entry

CPE

cpe	começar	fim
Configuration 1
cpe:2.3:a:maradns:maradns::::::::		<= 2.0.04

REMEDIAÇÃO

Patch

Url
http://samiam.org/blog/20111229.html

EXPLOITS

Exploit-db.com

id	descrição	datado
Nenhum exploit conhecido

Outros (github, ...)

Url
Nenhum exploit conhecido

CAPEC

Common Attack Pattern Enumerations and Classifications

id	descrição	gravidade
147	XML Ping da Morte Um atacante inicia um ataque de esgotamento de recursos onde um grande número de pequenas mensagens XML são entregues a um ritmo suficientemente rápido para causar uma negação de serviço ou uma queda do alvo. Transações como transações SOAP repetitivas podem esgotar recursos mais rapidamente do que um simples ataque de inundação, devido aos recursos adicionais usados pelo protocolo SOAP e aos recursos necessários para processar mensagens SOAP. As transações usadas são imateriais desde que causem a utilização de recursos no alvo. Em outras palavras, este é um ataque de inundação normal aumentado pelo uso de mensagens que irão requerer processamento extra no alvo. Usando um navegador ou uma ferramenta automatizada, um atacante registra todas as instâncias de serviços web para processar solicitações XML. [Iniciar um ataque de esgotamento de recursos] O atacante entrega um grande número de pequenas mensagens XML para as URLs alvo encontradas na fase de exploração a um ritmo suficientemente rápido. Isso causa a negação de serviço para a aplicação alvo.	Média
227	Engajamento sustentado do cliente Um adversário tenta negar aos usuários legítimos o acesso a um recurso, engajando continuamente um recurso específico na tentativa de manter o recurso preso o máximo de tempo possível. O objetivo principal do adversário não é bater ou inundar o alvo, o que alertaria os defensores; ao contrário, é executar repetidamente ações ou falhas algorítmicas de tal forma que um determinado recurso esteja amarrado e não disponível a um usuário legítimo. Ao elaborar cuidadosamente um pedido que mantém o recurso envolvido através do que parece ser pedidos benignos, os usuários legítimos são limitados ou completamente negados o acesso ao recurso.
492	Expansão exponencial de expressão regular Um adversário pode executar um ataque a um programa que usa uma má implementação de Expressão Regular (Regex) escolhendo um input que resulta numa situação extrema para o Regex. Uma situação extrema típica opera em tempo exponencial em comparação com o tamanho do input. Isto é devido à maioria das implementações que usam uma máquina de estado Finite Automaton(NFA) não determinística a ser construída pelo algoritmo Regex, uma vez que o NFA permite o retrocesso e, portanto, expressões regulares mais complexas.

MITRE

Técnicas

id	descrição
T1499	Ponto final de negação de serviço
© 2022 The MITRE Corporation. Este trabalho é reproduzido e distribuído com a permissão da Corporação MITRE.

Mitigações

id	descrição
T1499	Alavancar os serviços fornecidos por Content Delivery Networks (CDN) ou fornecedores especializados em mitigação de DoS para filtrar o tráfego a montante dos serviços. Filtrar o tráfego de fronteira bloqueando os endereços de origem que estão a ser alvo do ataque, bloqueando portos que estão a ser alvo, ou protocolos de bloqueio que estão a ser utilizados para transporte. Para se defender contra as inundações SYN, activar os Cookies SYN.
© 2022 The MITRE Corporation. Este trabalho é reproduzido e distribuído com a permissão da Corporação MITRE.

Sherlock® flash

Tire uma foto da sua rede informática em poucos cliques !

A solução de auditoria Sherlock® flash permite-lhe realizar uma auditoria para reforçar a segurança dos seus activos informáticos. Vulnerabilidade do seu equipamento físico e virtual. Planeamento de correcções por nível de prioridade e tempo disponível. Relatórios detalhados e intuitivos.

Descubra esta oferta

Sherlock® flash: 1ª solução instantânea de auditoria cibernética de segurança