Specialister fra JSOF forskningslaboratorier rapporterede syv nye sårbarheder i DNS/DHCP-serveren dnsmasq. dnsmasq-serveren er meget populær og bruges som standard i mange Linux-distributioner, samt i netværksudstyr fra Cisco, Ubiquiti m.fl. Dnspooq-sårbarheder inkluderer DNS-cacheforgiftning samt fjernudførelse af kode. Sårbarhederne er blevet rettet i dnsmasq 2.83.
I 2008 opdagede og afslørede den anerkendte sikkerhedsforsker Dan Kaminsky en grundlæggende fejl i internettets DNS-mekanisme. Kaminsky beviste, at angribere kan forfalske domæneadresser og stjæle data. Dette er siden blevet kendt som "Kaminsky-angrebet".
DNS er blevet betragtet som en usikker protokol i årtier, selvom den formodes at garantere et vist niveau af integritet. Det er af denne grund, at det stadig er stærkt påberåbt. Samtidig blev der udviklet mekanismer til at forbedre sikkerheden i den originale DNS-protokol. Disse mekanismer omfatter HTTPS, HSTS, DNSSEC og andre initiativer. Men selv med alle disse mekanismer på plads, er DNS-kapring stadig et farligt angreb i 2021. Meget af internettet er stadig afhængig af DNS på samme måde, som det gjorde i 2008, og er modtageligt for de samme typer angreb.
DNSpooq-cacheforgiftningssårbarheder:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Disse sårbarheder ligner SAD DNS-angreb for nylig rapporteret af forskere fra University of California og Tsinghua University. SAD DNS og DNSpooq sårbarheder kan også kombineres for at gøre angreb endnu nemmere. Yderligere angreb med uklare konsekvenser er også blevet rapporteret af fælles indsats fra universiteter (Poison Over Troubled Forwarders, etc.).
Sårbarheder virker ved at reducere entropi. På grund af brugen af en svag hash til at identificere DNS-anmodninger og den upræcise matchning af anmodningen til svaret, kan entropien reduceres kraftigt, og kun ~19 bit skal gættes, hvilket gør cacheforgiftning mulig. Den måde, dnsmasq behandler CNAME-poster på, gør det muligt at forfalske en kæde af CNAME-poster og effektivt forgifte op til 9 DNS-poster ad gangen.
Bufferoverløbssårbarheder: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. Alle 4 bemærkede sårbarheder er til stede i kode med DNSSEC-implementering og vises kun, når kontrol via DNSSEC er aktiveret i indstillingerne.
Kilde: linux.org.ru