Plataforma
linux
Componente
erlang
Corrigido em
*
*
*
CVE-2026-28810 describes a Generation of Predictable Numbers or Identifiers vulnerability within the Erlang/OTP kernel's inetres and inetdb modules. This flaw enables DNS cache poisoning, potentially allowing attackers to intercept and manipulate DNS traffic. The vulnerability affects Erlang/OTP versions 3.0.0 and later running on Linux systems, and a fix is available.
A vulnerabilidade CVE-2026-28810 no Erlang/OTP afeta o kernel, especificamente os módulos inetres e inetdb, permitindo um ataque de envenenamento de cache DNS. O resolvedor DNS integrado utiliza um ID de transação UDP de 16 bits sequencial e global para o processo e não implementa a aleatorização da porta de origem. A validação de respostas depende quase inteiramente deste ID, tornando prático para um atacante que possa observar uma consulta ou prever o próximo ID realizar um ataque de envenenamento de cache DNS. Isso contradiz a recomendação do RFC 5452, comprometendo a integridade da resolução DNS e potencialmente permitindo o redirecionamento do tráfego para sites maliciosos.
Um atacante que possa observar o tráfego de rede ou prever os IDs de transação UDP utilizados pelo resolvedor DNS do Erlang/OTP pode explorar esta vulnerabilidade. Isso pode ser alcançado por meio de técnicas de sniffing de rede ou analisando o padrão de IDs de transação gerados. Uma vez que o atacante conhece o ID esperado, ele pode enviar uma resposta DNS falsificada com esse ID, enganando o resolvedor para que armazene informações incorretas em seu cache. Isso permite que o atacante redirecione o tráfego para um servidor malicioso, intercepte dados confidenciais ou execute outros ataques.
Systems relying on Erlang/OTP's built-in DNS resolver, particularly those deployed in environments where network trust is not fully established, are at risk. This includes applications using Erlang/OTP for network communication and those that handle sensitive data transmitted over DNS. Legacy Erlang/OTP deployments are also particularly vulnerable.
• linux / server:
journalctl -u erlang -f | grep -i 'dns_resolve'• linux / server:
ps aux | grep inet_res• linux / server:
ss -tulnp | grep :53disclosure
Status do Exploit
EPSS
0.07% (percentil 21%)
CISA SSVC
A solução para mitigar CVE-2026-28810 envolve atualizar para uma versão do Erlang/OTP que incorpore a correção. A atualização corrige a falta de aleatorização da porta de origem e melhora o gerenciamento do ID de transação, fortalecendo a validação de respostas DNS. Enquanto isso, como medida temporária, implemente um firewall que filtre o tráfego DNS suspeito e utilize servidores DNS recursivos com mecanismos de proteção contra envenenamento de cache. Monitorar os logs DNS em busca de padrões incomuns também pode ajudar a detectar e responder a possíveis ataques. A aplicação de patches é a solução mais eficaz e recomendada.
Actualice Erlang/OTP a la versión 28.4.3 o superior, o a las versiones corregidas correspondientes (10.6.3 para kernel 3.0, 10.2.7.4 para kernel 10.2, 9.2.4.11 para kernel 9.2). Esta actualización mitiga la vulnerabilidad de envenenamiento de caché DNS al implementar una generación de ID de transacción más segura y aleatorización del puerto de origen.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É um ataque em que um atacante insere dados DNS falsos no cache de um servidor DNS, redirecionando o tráfego para um site malicioso.
Todas as versões anteriores à que contém a correção para CVE-2026-28810 são vulneráveis. Consulte as notas de lançamento do Erlang/OTP para obter detalhes específicos.
Implemente medidas de mitigação temporárias, como firewalls e monitoramento de logs DNS.
Verifique a versão do Erlang/OTP instalada e compare-a com as versões corrigidas.
Existem ferramentas de monitoramento de rede e análise de logs que podem ajudar a detectar padrões de tráfego DNS suspeitos.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.