JSOF tədqiqat laboratoriyalarının mütəxəssisləri DNS/DHCP server dnsmasq-da yeddi yeni boşluq barədə məlumat veriblər. Dnsmasq serveri çox populyardır və standart olaraq bir çox Linux paylamalarında, həmçinin Cisco, Ubiquiti və başqalarının şəbəkə avadanlıqlarında istifadə olunur. Dnspooq zəifliklərinə DNS keşinin zəhərlənməsi, eləcə də uzaqdan kod icrası daxildir. Boşluqlar dnsmasq 2.83-də aradan qaldırılıb.
2008-ci ildə məşhur təhlükəsizlik tədqiqatçısı Dan Kaminski İnternetin DNS mexanizmində fundamental qüsur aşkar edib və ifşa edib. Kaminski sübut etdi ki, təcavüzkarlar domen ünvanlarını saxtalaşdıra və məlumatları oğurlaya bilərlər. O vaxtdan bu, "Kaminski hücumu" kimi tanınmağa başladı.
DNS onilliklər ərzində etibarlı olmayan protokol hesab edilir, baxmayaraq ki, o, müəyyən bir bütövlüyü təmin etməlidir. Məhz bu səbəbdən ona hələ də çox etibar edilir. Eyni zamanda, orijinal DNS protokolunun təhlükəsizliyini yaxşılaşdırmaq üçün mexanizmlər hazırlanmışdır. Bu mexanizmlərə HTTPS, HSTS, DNSSEC və digər təşəbbüslər daxildir. Bununla belə, bütün bu mexanizmlər mövcud olsa belə, DNS oğurluğu 2021-ci ildə hələ də təhlükəli bir hücumdur. İnternetin çox hissəsi hələ də 2008-ci ildə olduğu kimi DNS-dən istifadə edir və eyni tipli hücumlara qarşı həssasdır.
DNSpooq önbelleği ilə zəhərlənmə zəiflikləri:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Bu boşluqlar Kaliforniya Universiteti və Tsinghua Universitetinin tədqiqatçıları tərəfindən bu yaxınlarda bildirilən SAD DNS hücumlarına bənzəyir. SAD DNS və DNSpooq zəiflikləri də hücumları daha da asanlaşdırmaq üçün birləşdirilə bilər. Universitetlərin birgə səyləri (Poison Over Troubled Forwarders və s.) nəticəsində qeyri-müəyyən nəticələrə malik əlavə hücumlar da bildirilmişdir.
Zəifliklər entropiyanı azaltmaqla işləyir. DNS sorğularını müəyyən etmək üçün zəif hashın istifadəsi və sorğunun cavaba qeyri-dəqiq uyğunluğu səbəbindən entropiya böyük ölçüdə azaldıla bilər və yalnız ~19 bit təxmin etmək lazımdır, bu da keşin zəhərlənməsini mümkün edir. Dnsmasq-ın CNAME qeydlərini işləmə üsulu ona CNAME qeydləri zəncirini saxtalaşdırmağa və eyni vaxtda 9-a qədər DNS qeydini effektiv şəkildə zəhərləməyə imkan verir.
Bufer daşması zəiflikləri: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. Qeyd edilən 4 zəifliyin hamısı DNSSEC tətbiqi ilə kodda mövcuddur və yalnız parametrlərdə DNSSEC vasitəsilə yoxlama aktiv olduqda görünür.
Mənbə: linux.org.ru