California ülikooli Riverside'i teadlaste meeskond on avaldanud SAD-i DNS-i rünnaku uue variandi (CVE-2021-20322), mis töötab hoolimata eelmisel aastal lisatud kaitsetest, mis blokeerisid haavatavuse CVE-2020-25705. Uus meetod sarnaneb üldiselt eelmise aasta haavatavusega ja erineb ainult teist tüüpi ICMP-pakettide kasutamisest aktiivsete UDP-portide kontrollimiseks. Kavandatav rünnak võimaldab DNS-serveri vahemällu asendada fiktiivseid andmeid, mida saab kasutada vahemälus suvalise domeeni IP-aadressi asendamiseks ja domeeni päringute ümbersuunamiseks ründaja serverisse.
Pakutud meetod töötab ainult Linuxi võrgupinus, kuna see on seotud Linuxi ICMP paketitöötlusmehhanismi iseärasustega, mis toimib andmelekke allikana, mis lihtsustab serveri poolt e-posti saatmiseks kasutatava UDP-pordi numbri määramist. väline taotlus. Infolekkeid blokeerivad muudatused võeti Linuxi tuumas kasutusele augusti lõpus (parandus lisati kerneli 5.15 ja septembri värskendustesse kerneli LTS-i harudesse). Parandus taandub Jenkinsi räsi asemel SipHashi räsialgoritmi kasutamisele võrgu vahemäludes. Distributsioonide haavatavuse parandamise olekut saab hinnata järgmistel lehtedel: Debian, RHEL, Fedora, SUSE, Ubuntu.
Probleemi tuvastanud teadlaste sõnul on umbes 38% võrgu avatud lahendajatest haavatavad, sealhulgas populaarsed DNS-teenused, nagu OpenDNS ja Quad9 (9.9.9.9). Mis puutub serveritarkvarasse, siis saab rünnak läbi viia, kasutades Linuxi serveris selliseid pakette nagu BIND, Unbound ja dnsmasq. Probleem ei ilmu DNS-serverites, mis töötavad Windowsis ja BSD-süsteemides. Rünnaku edukaks läbiviimiseks on vaja kasutada IP võltsimist, st. nõutakse, et ründaja Interneti-teenuse pakkuja ei blokeeriks võltsallika IP-aadressiga pakette.
Tuletame meelde, et SAD DNS-rünnak möödub DNS-serveritele lisatud kaitsetest, et blokeerida klassikaline DNS-i vahemälu mürgitamise meetod, mille pakkus välja 2008. aastal Dan Kaminsky. Kaminsky meetod manipuleerib DNS-päringu ID välja väikese suurusega, mis on vaid 16 bitti. Hostinime võltsimiseks vajaliku õige DNS-tehingu identifikaatori valimiseks piisab umbes 7000 päringu saatmisest ja umbes 140 tuhande fiktiivse vastuse simuleerimisest. Rünnak taandub suure hulga fiktiivse IP-sidumisega ja erinevate DNS-tehingu identifikaatoritega pakettide saatmisele DNS-i lahendajale. Esimese vastuse vahemällu salvestamise vältimiseks sisaldab iga näivvastus veidi muudetud domeeninime (1.example.com, 2.example.com, 3.example.com jne).
Seda tüüpi rünnakute eest kaitsmiseks rakendasid DNS-serveri tootjad allikavõrgu portide arvu juhuslikku jaotust, kust eraldustaotlusi saadetakse, mis kompenseeris identifikaatori ebapiisavalt suure suuruse. Pärast fiktiivse vastuse saatmise kaitse rakendamist tekkis lisaks 16-bitise identifikaatori valimisele vaja valida üks 64 tuhandest pordist, mis suurendas valikuvõimaluste arvu 2^32-ni.
SAD DNS-meetod võimaldab teil radikaalselt lihtsustada võrgu pordi numbri määramist ja vähendada rünnakut klassikalisele Kaminsky meetodile. Ründaja saab tuvastada juurdepääsu kasutamata ja aktiivsetele UDP-portidele, kasutades ära lekkinud teavet võrguportide tegevuse kohta ICMP vastusepakettide töötlemisel. Meetod võimaldab meil vähendada otsinguvalikute arvu 4 suurusjärku – 2^16+2^16 asemel 2^32 (131_072 asemel 4_294_967_296). Aktiivseid UDP-porte kiiresti tuvastada võimaldava teabe lekke põhjuseks on ICMP-pakettide töötlemise koodi viga killustamistaotlustega (ICMP Fragmentation Needed lipp) või ümbersuunamisega (ICMP Redirect lipp). Selliste pakettide saatmine muudab vahemälu olekut võrgupinus, mis võimaldab serveri vastuse põhjal määrata, milline UDP-port on aktiivne ja milline mitte.
Ründestsenaarium: kui DNS-i lahendaja proovib domeeninime lahendada, saadab see domeeni teenindavale DNS-serverile UDP-päringu. Sel ajal, kui lahendaja ootab vastust, saab ründaja kiiresti kindlaks teha päringu saatmiseks kasutatud allika pordi numbri ja saata sellele võltsvastuse, kehastades IP-aadressi võltsimise abil domeeni teenindavat DNS-serverit. DNS-i lahendaja salvestab võltsvastusega saadetud andmed vahemällu ja tagastab mõneks ajaks ründaja poolt asendatud IP-aadressi kõigi muude domeeninime DNS-i päringute jaoks.
Allikas: opennet.ru