Mae tîm o ymchwilwyr o Brifysgol California, Glan yr Afon wedi cyhoeddi amrywiad newydd o ymosodiad SAD DNS (CVE-2021-20322) sy'n gweithio er gwaethaf amddiffyniadau a ychwanegwyd y llynedd i rwystro bregusrwydd CVE-2020-25705. Mae'r dull newydd yn gyffredinol yn debyg i fregusrwydd y llynedd ac mae'n wahanol yn unig yn y defnydd o fath gwahanol o becynnau ICMP i wirio porthladdoedd CDU gweithredol. Mae'r ymosodiad arfaethedig yn caniatáu amnewid data ffug i storfa'r gweinydd DNS, y gellir ei ddefnyddio i ddisodli cyfeiriad IP parth mympwyol yn y storfa ac ailgyfeirio ceisiadau i'r parth i weinydd yr ymosodwr.
Mae'r dull arfaethedig yn gweithio yn y pentwr rhwydwaith Linux yn unig oherwydd ei gysylltiad â hynodion mecanwaith prosesu pecynnau ICMP yn Linux, sy'n gweithredu fel ffynhonnell gollyngiad data sy'n symleiddio pennu rhif porthladd y CDU a ddefnyddir gan y gweinydd i anfon cais allanol. Mabwysiadwyd newidiadau sy'n rhwystro gollyngiadau gwybodaeth i'r cnewyllyn Linux ddiwedd mis Awst (cynhwyswyd yr atgyweiriad yn diweddariadau cnewyllyn 5.15 a mis Medi i ganghennau LTS y cnewyllyn). Mae'r atgyweiriad yn dibynnu ar newid i ddefnyddio'r algorithm stwnsio SipHash mewn caches rhwydwaith yn lle Jenkins Hash. Gellir asesu statws gosod y bregusrwydd mewn dosbarthiadau ar y tudalennau hyn: Debian, RHEL, Fedora, SUSE, Ubuntu.
Yn ôl yr ymchwilwyr a nododd y broblem, mae tua 38% o ddatryswyr agored ar y rhwydwaith yn agored i niwed, gan gynnwys gwasanaethau DNS poblogaidd fel OpenDNS a Quad9 (9.9.9.9). O ran meddalwedd gweinydd, gellir ymosod trwy ddefnyddio pecynnau fel BIND, Unbound a dnsmasq ar weinydd Linux. Nid yw'r broblem yn ymddangos ar weinyddion DNS sy'n rhedeg ar systemau Windows a BSD. Er mwyn cyflawni ymosodiad yn llwyddiannus, mae angen defnyddio spoofing IP, h.y. mae'n ofynnol nad yw ISP yr ymosodwr yn rhwystro pecynnau â chyfeiriad IP ffynhonnell ffug.
Fel atgoffa, mae ymosodiad SAD DNS yn osgoi'r amddiffyniadau a ychwanegwyd at weinyddion DNS i rwystro'r dull gwenwyno cache DNS clasurol a gynigiwyd yn 2008 gan Dan Kaminsky. Mae dull Kaminsky yn trin maint bach y maes ID ymholiad DNS, sef dim ond 16 did. I ddewis y dynodwr trafodiad DNS cywir sy'n angenrheidiol ar gyfer ffugio enw gwesteiwr, mae'n ddigon anfon tua 7000 o geisiadau ac efelychu tua 140 mil o ymatebion ffug. Mae'r ymosodiad yn ymwneud ag anfon nifer fawr o becynnau gyda rhwymiad IP ffug a chyda gwahanol ddynodwyr trafodion DNS i'r datryswr DNS. Er mwyn atal yr ymateb cyntaf rhag cuddio, mae pob ymateb ffug yn cynnwys enw parth wedi'i addasu ychydig (1.example.com, 2.example.com, 3.example.com, ac ati).
Er mwyn amddiffyn yn erbyn y math hwn o ymosodiad, gweithredodd gweithgynhyrchwyr gweinydd DNS ddosbarthiad ar hap o rifau porthladd rhwydwaith ffynhonnell yr anfonir ceisiadau datrysiad ohonynt, a oedd yn gwneud iawn am faint annigonol y dynodwr. Ar ôl gweithredu amddiffyniad ar gyfer anfon ymateb ffug, yn ogystal â dewis dynodwr 16-did, daeth yn angenrheidiol i ddewis un o 64 mil o borthladdoedd, a gynyddodd nifer yr opsiynau ar gyfer dewis i 2^32.
Mae'r dull SAD DNS yn caniatáu ichi symleiddio penderfyniad rhif porthladd y rhwydwaith yn radical a lleihau'r ymosodiad i'r dull Kaminsky clasurol. Gall ymosodwr ganfod mynediad i borthladdoedd CDU nas defnyddiwyd a gweithredol trwy fanteisio ar wybodaeth a ddatgelwyd am weithgaredd porthladdoedd rhwydwaith wrth brosesu pecynnau ymateb ICMP. Mae'r dull yn caniatáu i ni leihau nifer yr opsiynau chwilio gan 4 gorchymyn maint - 2^16+2^16 yn lle 2^32 (131_072 yn lle 4_294_967_296). Mae'r gollyngiad gwybodaeth sy'n eich galluogi i bennu porthladdoedd CDU gweithredol yn gyflym yn cael ei achosi gan ddiffyg yn y cod ar gyfer prosesu pecynnau ICMP gyda cheisiadau darnio (baner Angen Darnio ICMP) neu ailgyfeirio (baner Ailgyfeirio ICMP). Mae anfon pecynnau o'r fath yn newid cyflwr y storfa yn y pentwr rhwydwaith, sy'n ei gwneud hi'n bosibl pennu, yn seiliedig ar ymateb y gweinydd, pa borthladd CDU sy'n weithredol a pha un nad yw.
Senario Ymosodiad: Pan fydd datryswr DNS yn ceisio datrys enw parth, mae'n anfon ymholiad CDU i'r gweinydd DNS sy'n gwasanaethu'r parth. Tra bod y datryswr yn aros am ymateb, gall ymosodwr benderfynu'n gyflym ar y rhif porth ffynhonnell a ddefnyddiwyd i anfon y cais ac anfon ymateb ffug iddo, gan ddynwared y gweinydd DNS sy'n gwasanaethu'r parth gan ddefnyddio ffugio cyfeiriad IP. Bydd y datryswr DNS yn storio'r data a anfonwyd yn yr ymateb ffug ac am beth amser bydd yn dychwelyd y cyfeiriad IP a amnewidiwyd gan yr ymosodwr ar gyfer pob cais DNS arall am yr enw parth.
Ffynhonnell: opennet.ru