Spezialisten der JSOF-Forschungslabore haben sieben neue Schwachstellen im DNS/DHCP-Server dnsmasq gemeldet. Der dnsmasq-Server erfreut sich großer Beliebtheit und wird standardmäßig in vielen Linux-Distributionen sowie in Netzwerkgeräten von Cisco, Ubiquiti und anderen verwendet. Zu den Schwachstellen von Dnspooq gehören DNS-Cache-Poisoning sowie Remote-Codeausführung. Die Schwachstellen wurden in dnsmasq 2.83 behoben.
Im Jahr 2008 entdeckte und deckte der renommierte Sicherheitsforscher Dan Kaminsky einen grundlegenden Fehler im DNS-Mechanismus des Internets auf. Kaminsky hat bewiesen, dass Angreifer Domänenadressen fälschen und Daten stehlen können. Dies ist seitdem als „Kaminsky-Angriff“ bekannt.
DNS galt jahrzehntelang als unsicheres Protokoll, obwohl es ein gewisses Maß an Integrität gewährleisten soll. Aus diesem Grund wird immer noch stark darauf zurückgegriffen. Gleichzeitig wurden Mechanismen entwickelt, um die Sicherheit des ursprünglichen DNS-Protokolls zu verbessern. Zu diesen Mechanismen gehören HTTPS, HSTS, DNSSEC und andere Initiativen. Trotz all dieser Mechanismen ist DNS-Hijacking auch im Jahr 2021 immer noch ein gefährlicher Angriff. Ein großer Teil des Internets ist immer noch wie im Jahr 2008 auf DNS angewiesen und anfällig für die gleichen Angriffsarten.
Schwachstellen durch DNSpooq-Cache-Poisoning:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Diese Schwachstellen ähneln SAD-DNS-Angriffen, die kürzlich von Forschern der University of California und der Tsinghua University gemeldet wurden. SAD-DNS- und DNSpooq-Schwachstellen können auch kombiniert werden, um Angriffe noch einfacher zu machen. Auch durch gemeinsame Anstrengungen von Universitäten (Poison Over Troubled Forwarders etc.) wurden weitere Angriffe mit unklaren Folgen gemeldet.
Schwachstellen wirken, indem sie die Entropie reduzieren. Aufgrund der Verwendung eines schwachen Hashs zur Identifizierung von DNS-Anfragen und der ungenauen Zuordnung der Anfrage zur Antwort kann die Entropie stark reduziert werden und es müssen nur etwa 19 Bits erraten werden, was eine Cache-Vergiftung möglich macht. Die Art und Weise, wie dnsmasq CNAME-Einträge verarbeitet, ermöglicht es, eine Kette von CNAME-Einträgen zu fälschen und effektiv bis zu 9 DNS-Einträge gleichzeitig zu verfälschen.
Schwachstellen durch Pufferüberlauf: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. Alle 4 genannten Schwachstellen sind im Code mit DNSSEC-Implementierung vorhanden und treten nur auf, wenn die Überprüfung über DNSSEC in den Einstellungen aktiviert ist.
Source: linux.org.ru