漏洞描述: BIND(Berkeley Internet Name Domain)是互联网上使用最广泛的DNS服务器软件之一,负责域名解析服务。在企业和网络服务提供商中广泛部署,用于将域名转换为IP地址。本次发现的漏洞涉及BIND DNS服务器的配置问题,具体为区域传输(Zone Transfer)未正确限制,可能导致敏感信息泄露。区域传输是DNS服务器之间同步区域数据的一种机制,如果配置不当,允许任意主机进行区域传输,攻击者可以利用此漏洞获取网络内部的主机名、IP地址分布等敏感信息,进而可能用于进一步的网络攻击。此漏洞的技术根源在于BIND的配置文件/etc/named.conf中未正确设置allow-transfer指令,或该指令配置过于宽松,未限制可进行区域传输的IP地址范围。由于DNS服务通常面向互联网开放,此类配置问题可能被远程攻击者利用,无需认证即可获取敏感信息,对网络安全构成严重威胁。
info: name: DNS Zone Transfer - Configuration Check author: songyaeji severity: high description: > If DNS Zone Transfer is allowed to all hosts, it may expose sensitive information such as hostnames, network structure, and system data. This template checks whether the BIND DNS server restricts zone transfers via allow-transfer directive in /etc/named.conf. reference: - https://isms.kisa.or.kr - Cloud Vulnerability Assessment Guide(2024) by KISA tags: linux,dns,bind,zonetransfer,misconfiguration,local metadata: verified: true os: linux max-request: 1 classification: cvss-metrics: CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H cvss-score: 7.8 cwe-id: CWE-200