JSOF ikerketa-laborategietako espezialistek zazpi ahultasun berri jakinarazi zituzten DNS/DHCP zerbitzarian dnsmasq. Dnsmasq zerbitzaria oso ezaguna da eta Linux banaketa askotan erabiltzen da lehenespenez, baita Cisco, Ubiquiti eta beste sareko ekipoetan ere. Dnspooq ahultasunen artean DNS cachearen pozoitzea eta urruneko kodearen exekuzioa daude. Ahultasunak dnsmasq 2.83-n konpondu dira.
2008an, Dan Kaminsky segurtasun ikertzaile ospetsuak Interneteko DNS mekanismoaren oinarrizko akats bat aurkitu eta agerian utzi zuen. Kaminsky-k frogatu zuen erasotzaileek domeinu-helbideak faltsutu eta datuak lapur ditzaketela. Harrezkero hau "Kaminsky Erasoa" bezala ezagutzen da.
DNS protokolo segurutzat hartu izan da hamarkadetan zehar, nahiz eta osotasun maila jakin bat bermatu behar duen. Hori dela eta, oraindik ere konfiantza handia da. Aldi berean, jatorrizko DNS protokoloaren segurtasuna hobetzeko mekanismoak garatu ziren. Mekanismo horien artean daude HTTPS, HSTS, DNSSEC eta beste ekimen batzuk. Hala ere, mekanismo horiek guztiak indarrean egon arren, DNS bahiketa eraso arriskutsua da oraindik 2021ean. Interneten zati handi bat DNSn oinarritzen da oraindik 2008an egin zuen modu berean, eta eraso mota berdinak jasaten ditu.
DNSpooq cachearen pozoitzearen ahultasunak:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Ahultasun hauek Kaliforniako Unibertsitateko eta Tsinghua Unibertsitateko ikertzaileek berriki jakinarazi dituzten SAD DNS erasoen antzekoak dira. SAD DNS eta DNSpooq ahultasunak ere konbina daitezke erasoak are errazago egiteko. Ondorio argirik gabeko eraso gehigarriak ere jakinarazi dituzte unibertsitateen ahalegin bateratuak (Poison Over Troubled Forwarders, etab.).
Ahultasunek entropia murriztuz funtzionatzen dute. DNS eskaerak identifikatzeko hash ahul bat erabiltzeagatik eta eskaeraren erantzunarekin bat etortze zehatza ez denez, entropia asko murriztu daiteke eta ~19 bit besterik ez dira asmatu behar, cachearen pozoitzea posible eginez. Dnsmasq-ek CNAME erregistroak prozesatzeko moduari esker, CNAME erregistroen kate bat faltsutu eta 9 DNS erregistro aldi berean pozoitu ditzake.
Buffer-a gainezkatzeko ahultasunak: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. Adierazitako 4 ahultasun guztiak DNSSEC inplementazioa duen kodean daude eta ezarpenetan DNSSEC bidez egiaztatzea gaituta dagoenean bakarrik agertzen dira.
Iturria: linux.org.ru