Experten der JSOF-Forschungslabore berichteten von sieben neuen Schwachstellen im DNS/DHCP-Server dnsmasq. Der dnsmasq-Server ist sehr beliebt und wird standardmäßig in vielen Linux-Distributionen sowie in Netzwerkgeräten von Cisco, Ubiquiti und anderen verwendet. Die Schwachstellen von Dnspooq umfassen DNS-Cache-Vergiftung sowie die Remote-Codeausführung. Die Schwachstellen wurden in dnsmasq 2.83 behoben.
Im Jahr 2008 entdeckte und enthüllte der bekannte Sicherheitsexperte Dan Kaminsky einen grundlegenden Mangel im DNS-Mechanismus des Internets. Kaminsky bewies, dass Angreifer Adressen manipulieren Domänen und Daten stehlen können. Dies wurde seitdem als "Kaminsky-Angriff" bekannt.
DNS gilt seit Jahrzehnten als unsicheres Protokoll, obwohl angenommen wird, dass es ein gewisses Maß an Integrität gewährleistet. Aus diesem Grund wird es nach wie vor stark genutzt. Gleichzeitig wurden Mechanismen zur Verbesserung der Sicherheit des ursprünglichen DNS-Protokolls entwickelt. Diese Mechanismen umfassen HTTPS, HSTS, DNSSEC und andere Initiativen. Dennoch bleibt der DNS-Übergriff auch im Jahr 2021 eine gefährliche Attacke. Ein Großteil des Internets verlässt sich noch immer auf DNS, wie schon 2008, und ist denselben Angriffen ausgesetzt.
Schwachstellen bei DNSpooq Cache Poisoning:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Diese Schwachstellen sind ähnlich wie die SAD DNS-Angriffe, über die kürzlich Forscher der University of California und der Tsinghua University berichteten. Die Schwachstellen von SAD DNS und DNSpooq können auch kombiniert werden, um Angriffe weiter zu erleichtern. Über zusätzliche Angriffe mit unklaren Konsequenzen wurde ebenfalls in Kooperation zwischen den Universitäten berichtet (Poison Over Troubled Forwarders usw.).
Schwachstellen nutzen die verringerte Entropie aus. Aufgrund der Verwendung eines schwachen Hashes zur Identifizierung von DNS-Anfragen und einer ungenauen Zuordnung von Anfrage zu Antwort kann die Entropie erheblich verringert werden, sodass man nur ~19 Bit erraten muss, was eine Cache-Vergiftungsattacke möglich macht. Die Art und Weise, wie dnsmasq CNAME-Einträge verarbeitet, ermöglicht es, Ketten von CNAME-Einträgen zu fälschen und effektiv bis zu 9 DNS-Einträge gleichzeitig zu vergiften.
Buffer Overflow Schwachstellen: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. Alle vier genannten Schwachstellen sind im Code mit DNSSEC-Implementierung zu finden und treten nur auf, wenn die Überprüfung über DNSSEC in den Einstellungen aktiviert ist.
Quelle: linux.org.ru
