Нова SAD DNS атака за вмъкване на фалшиви данни в DNS кеша

Екип от изследователи от Университета на Калифорния, Ривърсайд публикува нов вариант на SAD DNS атака (CVE-2021-20322), който работи въпреки защитите, добавени миналата година за блокиране на уязвимостта CVE-2020-25705. Новият метод като цяло е подобен на миналогодишната уязвимост и се различава само в използването на различен тип ICMP пакети за проверка на активни UDP портове. Предложената атака позволява замяна на фиктивни данни в кеша на DNS сървъра, които могат да се използват за замяна на IP адреса на произволен домейн в кеша и пренасочване на заявки към домейна към сървъра на атакуващия.

Предложеният метод работи само в мрежовия стек на Linux поради връзката му с особеностите на механизма за обработка на ICMP пакети в Linux, който действа като източник на изтичане на данни, което опростява определянето на номера на UDP порта, използван от сървъра за изпращане на външна заявка. Промените, които блокират изтичането на информация, бяха приети в ядрото на Linux в края на август (корекцията беше включена в ядрото 5.15 и септемврийските актуализации на LTS клоновете на ядрото). Корекцията се свежда до преминаване към използване на алгоритъма за хеширане SipHash в мрежовите кешове вместо Jenkins Hash. Състоянието на коригиране на уязвимостта в дистрибуциите може да бъде оценено на тези страници: Debian, RHEL, Fedora, SUSE, Ubuntu.

Според изследователите, идентифицирали проблема, около 38% от отворените резолвери в мрежата са уязвими, включително популярни DNS услуги като OpenDNS и Quad9 (9.9.9.9). Що се отнася до сървърния софтуер, атаката може да бъде извършена чрез използване на пакети като BIND, Unbound и dnsmasq на Linux сървър. Проблемът не се появява на DNS сървъри, работещи на Windows и BSD системи. За успешното извършване на атака е необходимо да се използва IP spoofing, т.е. изисква се ISP на атакуващия да не блокира пакети с фалшив IP адрес на източника.

Като напомняне, SAD DNS атаката заобикаля защитите, добавени към DNS сървърите, за да блокира класическия метод за отравяне на DNS кеш, предложен през 2008 г. от Дан Камински. Методът на Kaminsky манипулира малкия размер на полето ID на DNS заявката, което е само 16 бита. За да изберете правилния идентификатор на DNS транзакция, необходим за подправяне на име на хост, е достатъчно да изпратите приблизително 7000 заявки и да симулирате около 140 хиляди фиктивни отговора. Атаката се свежда до изпращане на голям брой пакети с фиктивно IP обвързване и с различни идентификатори на DNS транзакции към DNS резолвера. За да се предотврати кеширането на първия отговор, всеки фиктивен отговор съдържа леко модифицирано име на домейн (1.example.com, 2.example.com, 3.example.com и т.н.).

За да се предпазят от този тип атака, производителите на DNS сървъри внедриха произволно разпределение на броя на изходните мрежови портове, от които се изпращат заявки за резолюция, което компенсира недостатъчно големия размер на идентификатора. След реализиране на защита за изпращане на фиктивен отговор, освен избор на 16-битов идентификатор, се наложи избор на един от 64 хиляди порта, което увеличи броя на опциите за избор до 2^32.

Методът SAD DNS ви позволява радикално да опростите определянето на номера на мрежовия порт и да намалите атаката до класическия метод на Kaminsky. Нападателят може да открие достъп до неизползвани и активни UDP портове, като се възползва от изтекла информация за активността на мрежовите портове при обработка на ICMP пакети с отговори. Методът ни позволява да намалим броя на опциите за търсене с 4 порядъка - 2^16+2^16 вместо 2^32 (131_072 вместо 4_294_967_296). Изтичането на информация, което ви позволява бързо да определите активните UDP портове, е причинено от грешка в кода за обработка на ICMP пакети със заявки за фрагментиране (флаг за необходимо фрагментиране на ICMP) или пренасочване (флаг за пренасочване на ICMP). Изпращането на такива пакети променя състоянието на кеша в мрежовия стек, което позволява да се определи, въз основа на отговора на сървъра, кой UDP порт е активен и кой не.

Сценарий на атака: Когато DNS резолвер се опита да разреши име на домейн, той изпраща UDP заявка до DNS сървъра, обслужващ домейна. Докато резолверът чака отговор, атакуващият може бързо да определи номера на порта на източника, който е бил използван за изпращане на заявката, и да изпрати фалшив отговор към нея, имитирайки DNS сървъра, обслужващ домейна, използвайки IP адрес spoofing. DNS резолверът ще кешира данните, изпратени във фалшивия отговор, и за известно време ще върне IP адреса, заменен от нападателя, за всички други DNS заявки за името на домейна.

Източник: opennet.ru