DNSpooq — семь новых уязвимостей в dnsmasq

Специалисты из JSOF research labs сообщили о семи новых уязвимостях в DNS/DHCP сервере dnsmasq. Сервер dnsmasq весьма популярен и используется по умолчанию во многих дистрибутивах linux, а также в сетевом оборудовании Cisco, Ubiquiti и прочих. Уязвимости Dnspooq включают в себя отравление DNS-кэша, а также удаленное выполнение кода. Уязвимости исправлены в dnsmasq 2.83.

В 2008 году известный исследователь в области безопасности Дэн Каминский обнаружил и раскрыл фундаментальный недостаток механизма DNS в Интернете. Каминский доказал, что злоумышленники могут подменять адреса доменов и красть данные. С тех пор это стало известно как «Атака Каминского».

DNS считается небезопасным протоколом на протяжении десятилетий, хотя предполагается, что он гарантирует определенный уровень целостности. Именно по этой причине на него до сих пор сильно полагаются. В то же время были разработаны механизмы повышения безопасности исходного протокола DNS. Эти механизмы включают в себя HTTPS, HSTS, DNSSEC и другие инициативы. Тем не менее, даже при наличии всех этих механизмов, перехват DNS все равно является опасной атакой в 2021 году. Большая часть интернета все еще полагается на DNS так же, как и в 2008 году, и подвержена атакам того же типа.

Уязвимости отравления кэша DNSpooq:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Эти уязвимости схожи с атаками SAD DNS, о которых недавно сообщали исследователи из Калифорнийского Университета и Университета Цинхуа. Уязвимости SAD DNS и DNSpooq также могут быть объединены для еще большего облегчения атак. О дополнительных атаках с неясными последствиями также сообщалось совместными усилиями университетов (Poison Over Troubled Forwarders и др.).
Уязвимости работают за счет уменьшения энтропии. Из-за использования слабого хэша для идентификации DNS-запросов и неточного соответствия запроса ответу, энтропия может быть значительно уменьшена и нужно угадать только ~19 бит, что делает возможным отравление кэша. Способ, которым dnsmasq обрабатывает CNAME-записи, позволяет подделывать цепочку CNAME-записей и эффективно отравлять до 9 DNS-записей одновременно.

Уязвимости переполнения буфера: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. Все отмеченные 4 уязвимости присутствуют в коде с реализацией DNSSEC и проявляются только при включении в настройках проверки через DNSSEC.

Источник: linux.org.ru