Spesialiste van JSOF-navorsingslaboratoriums het sewe nuwe kwesbaarhede in die DNS/DHCP-bediener dnsmasq aangemeld. Die dnsmasq-bediener is baie gewild en word by verstek in baie Linux-verspreidings gebruik, sowel as in netwerktoerusting van Cisco, Ubiquiti en ander. Dnspooq-kwesbaarhede sluit in DNS-kasvergiftiging sowel as die uitvoering van afgeleë kode. Die kwesbaarhede is reggestel in dnsmasq 2.83.
In 2008 het die bekende sekuriteitsnavorser Dan Kaminsky 'n fundamentele fout in die internet se DNS-meganisme ontdek en blootgelê. Kaminsky het bewys dat aanvallers domeinadresse kan bedrieg en data kan steel. Dit het sedertdien bekend geword as die "Kaminsky-aanval".
DNS word al dekades lank as 'n onveilige protokol beskou, hoewel dit veronderstel is om 'n sekere vlak van integriteit te waarborg. Dit is om hierdie rede dat daar steeds sterk op dit staatgemaak word. Terselfdertyd is meganismes ontwikkel om die sekuriteit van die oorspronklike DNS-protokol te verbeter. Hierdie meganismes sluit HTTPS, HSTS, DNSSEC en ander inisiatiewe in. Selfs met al hierdie meganismes in plek, is DNS-kaping egter steeds 'n gevaarlike aanval in 2021. Baie van die internet maak steeds op DNS staat op dieselfde manier as wat dit in 2008 gedoen het, en is vatbaar vir dieselfde tipe aanvalle.
DNSpooq-kasvergiftigingskwesbaarhede:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Hierdie kwesbaarhede is soortgelyk aan SAD DNS-aanvalle wat onlangs deur navorsers van die Universiteit van Kalifornië en Tsinghua Universiteit aangemeld is. SAD DNS- en DNSpooq-kwesbaarhede kan ook gekombineer word om aanvalle nog makliker te maak. Bykomende aanvalle met onduidelike gevolge is ook aangemeld deur gesamentlike pogings van universiteite (Poison Over Troubled Forwarders, ens.).
Kwesbaarhede werk deur entropie te verminder. As gevolg van die gebruik van 'n swak hash om DNS-versoeke te identifiseer en die onakkurate passing van die versoek met die antwoord, kan entropie aansienlik verminder word en slegs ~19 bisse hoef te raai, wat kasvergiftiging moontlik maak. Die manier waarop dnsmasq CNAME-rekords verwerk, laat dit toe om 'n ketting van CNAME-rekords te bedrieg en effektief tot 9 DNS-rekords op 'n slag te vergiftig.
Bufferoorloopkwesbaarhede: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. Al 4 opgemerkte kwesbaarhede is teenwoordig in kode met DNSSEC-implementering en verskyn slegs wanneer kontrolering via DNSSEC in die instellings geaktiveer is.
Bron: linux.org.ru