Specialistoj de JSOF-esploraj laboratorioj raportis sep novajn vundeblecojn en la DNS/DHCP-servilo dnsmasq. La dnsmasq-servilo estas tre populara kaj estas uzata defaŭlte en multaj Linukso-distribuoj, same kiel en retaj ekipaĵoj de Cisco, Ubiquiti kaj aliaj. Dnspooq-vundeblecoj inkluzivas DNS-kaŝmemorvenenadon same kiel malproksiman kodekzekuton. La vundeblecoj estis riparitaj en dnsmasq 2.83.
En 2008, fama sekureca esploristo Dan Kaminsky malkovris kaj elmontris fundamentan difekton en la DNS-mekanismo de Interreto. Kaminsky pruvis, ke atakantoj povas falsi domajnadresojn kaj ŝteli datumojn. Tio poste fariĝis konata kiel la "Kaminsky Attack".
DNS estas konsiderata nesekura protokolo dum jardekoj, kvankam ĝi supozeble garantias certan nivelon de integreco. Estas pro tio, ke ĝi estas ankoraŭ forte fidinda. En la sama tempo, mekanismoj estis evoluigitaj por plibonigi la sekurecon de la origina DNS-protokolo. Ĉi tiuj mekanismoj inkluzivas HTTPS, HSTS, DNSSEC kaj aliajn iniciatojn. Tamen, eĉ kun ĉiuj ĉi tiuj mekanismoj, DNS-kapero daŭre estas danĝera atako en 2021. Granda parto de la Interreto daŭre dependas de DNS en la sama maniero kiel ĝi faris en 2008, kaj estas sentema al la samaj specoj de atakoj.
DNSpooq kaŝmemorvenenaj vundeblecoj:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Ĉi tiuj vundeblecoj estas similaj al SAD DNS-atakoj lastatempe raportitaj de esploristoj de la Universitato de Kalifornio kaj Tsinghua University. SAD DNS kaj DNSpooq vundeblecoj ankaŭ povas esti kombinitaj por faciligi atakojn. Pliaj atakoj kun neklaraj sekvoj ankaŭ estis raportitaj per komunaj klopodoj de universitatoj (Poison Over Troubled Forwarders, ktp.).
Vundeblecoj funkcias reduktante entropion. Pro la uzo de malforta haŝiŝo por identigi DNS-petojn kaj la malpreciza kongruo de la peto al la respondo, entropio povas esti tre reduktita kaj nur ~19 bitoj devas esti divenitaj, igante kaŝmemorvenenadon ebla. La maniero kiel dnsmasq prilaboras CNAME-rekordojn permesas al ĝi falsigi ĉenon de CNAME-rekordoj kaj efike veneni ĝis 9 DNS-rekordojn samtempe.
Vulnereblecoj de superfluo de bufro: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. Ĉiuj 4 rimarkitaj vundeblecoj ĉeestas en kodo kun DNSSEC-efektivigo kaj aperas nur kiam kontrolado per DNSSEC estas ebligita en la agordoj.
fonto: linux.org.ru