Los especialistas de los laboratorios de investigación JSOF informaron siete nuevas vulnerabilidades en el servidor DNS/DHCP dnsmasq. El servidor dnsmasq es muy popular y se utiliza de forma predeterminada en muchas distribuciones de Linux, así como en equipos de red de Cisco, Ubiquiti y otros. Las vulnerabilidades de Dnspooq incluyen envenenamiento de la caché de DNS y ejecución remota de código. Las vulnerabilidades se han solucionado en dnsmasq 2.83.
En 2008, el renombrado investigador de seguridad Dan Kaminsky descubrió y expuso una falla fundamental en el mecanismo DNS de Internet. Kaminsky demostró que los atacantes pueden falsificar direcciones de dominio y robar datos. Desde entonces, esto se conoce como el "ataque Kaminsky".
DNS ha sido considerado un protocolo inseguro durante décadas, aunque se supone que garantiza un cierto nivel de integridad. Es por esta razón que todavía se confía mucho en él. Al mismo tiempo, se desarrollaron mecanismos para mejorar la seguridad del protocolo DNS original. Estos mecanismos incluyen HTTPS, HSTS, DNSSEC y otras iniciativas. Sin embargo, incluso con todos estos mecanismos implementados, el secuestro de DNS sigue siendo un ataque peligroso en 2021. Gran parte de Internet todavía depende del DNS de la misma manera que lo hacía en 2008 y es susceptible a los mismos tipos de ataques.
Vulnerabilidades de envenenamiento de caché de DNSpooq:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Estas vulnerabilidades son similares a los ataques SAD DNS informados recientemente por investigadores de la Universidad de California y la Universidad Tsinghua. Las vulnerabilidades de SAD DNS y DNSpooq también se pueden combinar para facilitar aún más los ataques. También se han informado de ataques adicionales con consecuencias poco claras gracias a esfuerzos conjuntos de universidades (Poison Over Troubled Forwarders, etc.).
Las vulnerabilidades funcionan reduciendo la entropía. Debido al uso de un hash débil para identificar las solicitudes de DNS y la coincidencia imprecisa de la solicitud con la respuesta, la entropía se puede reducir considerablemente y solo es necesario adivinar ~19 bits, lo que hace posible el envenenamiento de la caché. La forma en que dnsmasq procesa registros CNAME le permite falsificar una cadena de registros CNAME y envenenar efectivamente hasta 9 registros DNS a la vez.
Vulnerabilidades de desbordamiento de búfer: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. Las 4 vulnerabilidades señaladas están presentes en el código con la implementación de DNSSEC y aparecen solo cuando la verificación a través de DNSSEC está habilitada en la configuración.
Fuente: linux.org.ru