أبلغ متخصصون من مختبرات أبحاث JSOF عن سبع نقاط ضعف جديدة في خادم DNS/DHCP dnsmasq. يحظى خادم dnsmasq بشعبية كبيرة ويستخدم افتراضيًا في العديد من توزيعات Linux، وكذلك في معدات الشبكات من Cisco وUbiquiti وغيرها. تتضمن نقاط الضعف في Dnspooq تسمم ذاكرة التخزين المؤقت لنظام أسماء النطاقات (DNS) بالإضافة إلى تنفيذ التعليمات البرمجية عن بُعد. تم إصلاح الثغرات الأمنية في dnsmasq 2.83.
في عام 2008، اكتشف الباحث الأمني الشهير دان كامينسكي وكشف عن خلل أساسي في آلية DNS للإنترنت. أثبت كامينسكي أن المهاجمين يمكنهم انتحال عناوين النطاق وسرقة البيانات. ومنذ ذلك الحين أصبح هذا معروفًا باسم "هجوم كامينسكي".
لقد تم اعتبار DNS بروتوكولًا غير آمن لعقود من الزمن، على الرغم من أنه من المفترض أن يضمن مستوى معينًا من السلامة. ولهذا السبب لا يزال يتم الاعتماد عليه بشدة. وفي الوقت نفسه، تم تطوير آليات لتحسين أمان بروتوكول DNS الأصلي. وتشمل هذه الآليات HTTPS وHSTS وDNSSEC ومبادرات أخرى. ومع ذلك، حتى مع وجود كل هذه الآليات، لا يزال اختطاف DNS يمثل هجومًا خطيرًا في عام 2021. لا يزال جزء كبير من الإنترنت يعتمد على DNS بنفس الطريقة التي كان عليها في عام 2008، وهو عرضة لنفس أنواع الهجمات.
ثغرات أمنية في تسميم ذاكرة التخزين المؤقت لـ DNSpooq:
CVE-2020-25686، CVE-2020-25684، CVE-2020-25685. تشبه نقاط الضعف هذه هجمات SAD DNS التي أبلغ عنها مؤخرًا باحثون من جامعة كاليفورنيا وجامعة تسينغهوا. يمكن أيضًا الجمع بين ثغرات SAD DNS وDNSpooq لتسهيل الهجمات. كما تم الإبلاغ عن هجمات إضافية ذات عواقب غير واضحة من خلال الجهود المشتركة للجامعات (تسمم وكلاء الشحن المضطربين، وما إلى ذلك).
تعمل نقاط الضعف عن طريق تقليل الإنتروبيا. نظرًا لاستخدام تجزئة ضعيفة لتحديد طلبات DNS والمطابقة غير الدقيقة للطلب مع الاستجابة، يمكن تقليل الإنتروبيا بشكل كبير ولا يلزم تخمين سوى 19 بت تقريبًا، مما يجعل تسمم ذاكرة التخزين المؤقت أمرًا ممكنًا. تتيح الطريقة التي يعالج بها dnsmasq سجلات CNAME انتحال سلسلة من سجلات CNAME وإفساد ما يصل إلى 9 سجلات DNS بشكل فعال في المرة الواحدة.
الثغرات الأمنية لتجاوز سعة المخزن المؤقت: CVE-2020-25687، CVE-2020-25683، CVE-2020-25682، CVE-2020-25681. جميع نقاط الضعف الأربعة المذكورة موجودة في التعليمات البرمجية مع تنفيذ DNSSEC وتظهر فقط عند تمكين التحقق عبر DNSSEC في الإعدادات.
المصدر: linux.org.ru