Riverside Kaliforniako Unibertsitateko ikertzaile talde batek SAD DNS erasoaren (CVE-2021-20322) aldaera berri bat argitaratu du, iaz CVE-2020-25705 ahultasuna blokeatzeko babesak gehitu arren funtzionatzen duena. Metodo berria, oro har, iazko ahultasunaren antzekoa da eta ICMP pakete mota desberdinen erabileran bakarrik dago UDP portu aktiboak egiaztatzeko. Proposatutako erasoak DNS zerbitzariaren cachean fikziozko datuak ordezkatzeko aukera ematen du, eta hori erabil daiteke cachean domeinu arbitrario baten IP helbidea ordezkatzeko eta domeinura eskaerak erasotzailearen zerbitzarira birbideratzeko.
Proposatutako metodoak Linux sareko pilan bakarrik funtzionatzen du Linux-en ICMP paketeen prozesatzeko mekanismoaren berezitasunekin konektatzen duelako, zeinak zerbitzariak bidaltzeko erabiltzen duen UDP ataka-zenbakiaren zehaztapena errazten duen datu-ihesaren iturri gisa jokatzen duena. kanpoko eskaera. Informazioaren ihesa blokeatzen duten aldaketak abuztuaren amaieran onartu ziren Linux nukleoan (konponketa nukleoaren 5.15 eta iraileko eguneraketetan sartu zen nukleoaren LTS adarretan). Konponketa Jenkins Hash-en ordez SipHash hashing algoritmoa sareko cacheetan erabiltzera aldatzean datza. Banaketan ahultasuna konpontzearen egoera orri hauetan ebaluatu daiteke: Debian, RHEL, Fedora, SUSE, Ubuntu.
Arazoa identifikatu duten ikertzaileen arabera, sareko ebatzaile irekien % 38 inguru zaurgarriak dira, DNS zerbitzu ezagunak barne, hala nola OpenDNS eta Quad9 (9.9.9.9). Zerbitzariaren softwareari dagokionez, eraso bat egin daiteke Linux zerbitzari batean BIND, Unbound eta dnsmasq bezalako paketeak erabiliz. Arazoa ez da agertzen Windows eta BSD sistemetan exekutatzen diren DNS zerbitzarietan. Eraso bat arrakastaz burutzeko, beharrezkoa da IP spoofing-a erabiltzea, hau da. derrigorrezkoa da erasotzailearen ISP-ak ez dituela iturburuko IP helbide faltsu bat duten paketeak blokeatzea.
Oroigarri gisa, SAD DNS erasoak DNS zerbitzariei gehitutako babesak saihestu egiten ditu 2008an Dan Kaminsky-k proposatutako DNS cachearen pozoitze-metodo klasikoa blokeatzeko. Kaminsky-ren metodoak DNS kontsultaren ID eremuaren tamaina txikia manipulatzen du, hau da, 16 bit baino ez den. Ostalariaren izena spoofing egiteko beharrezkoa den DNS transakzio-identifikatzaile zuzena hautatzeko, nahikoa da gutxi gorabehera 7000 eskaera bidaltzea eta 140 mila fikziozko erantzun inguru simulatzea. Erasoa fikziozko IP lotura batekin eta DNS transakzio-identifikatzaile ezberdinekin pakete ugari bidaltzean datza DNS konpontzaileari. Lehen erantzunaren cachean gordetzea saihesteko, erantzun faltsu bakoitzak apur bat aldatutako domeinu-izen bat dauka (1.adibidea.com, 2.adibidea.com, 3.adibidea.com, etab.).
Eraso mota honen aurka babesteko, DNS zerbitzarien fabrikatzaileek ebazpen-eskaerak bidaltzen dituzten iturburu-sare-atalen kopuruen ausazko banaketa ezarri zuten, eta horrek identifikatzailearen tamaina ez nahiko handia konpentsatzen zuen. Fikziozko erantzuna bidaltzeko babesa ezarri ondoren, 16 biteko identifikatzaile bat hautatzeaz gain, 64 mila portuetako bat hautatzea beharrezkoa izan zen, hautatzeko aukera kopurua 2^32ra igo zen.
SAD DNS metodoak sareko ataka-zenbakiaren zehaztapena errotik erraztu eta erasoa Kaminsky metodo klasikora murrizteko aukera ematen du. Erasotzaile batek erabili gabeko eta aktibo UDP portuetarako sarbidea detekta dezake sareko atakeen jarduerari buruz filtratutako informazioa aprobetxatuz ICMP erantzun-paketeak prozesatzen dituenean. Metodoari esker, bilaketa-aukeren kopurua 4 magnitude-ordena murrizten dugu - 2^16+2^16 2^32 ordez (131_072 4_294_967_296 ordez). UDP portu aktiboak azkar zehazteko aukera ematen duen informazio-ihesak zatiketa-eskaerak dituzten ICMP paketeak prozesatzeko kodearen akats batek eragiten du (ICMP Fragmentation Needed bandera) edo birbideratzea (ICMP Redirect bandera). Horrelako paketeak bidaltzeak sareko pilako cachearen egoera aldatzen du, eta horri esker, zerbitzariaren erantzunaren arabera, zein UDP ataka aktibo dagoen eta zein ez zehaztea posible da.
Erasoa: DNS konpontzailea domeinu-izen bat ebazten saiatzen denean, UDP kontsulta bat bidaltzen du domeinua zerbitzatzen duen DNS zerbitzariari. Ebazlea erantzun baten zain dagoen bitartean, erasotzaileak azkar zehaztu dezake eskaera bidaltzeko erabili den iturburu-ataka-zenbakia eta hari erantzun faltsu bat bidali, domeinua zerbitzatzen duen DNS zerbitzariaren nortasuna ordezkatuz, IP helbidea spoofing erabiliz. DNS konpontzaileak erantzun faltsuan bidalitako datuak gordeko ditu eta denbora batez erasotzaileak ordezkaturiko IP helbidea itzuliko du domeinu-izenaren beste DNS eskaera guztientzat.
Iturria: opennet.ru