Especialistas dos laboratorios de investigación JSOF informaron de sete novas vulnerabilidades no servidor DNS/DHCP dnsmasq. O servidor dnsmasq é moi popular e úsase por defecto en moitas distribucións de Linux, así como en equipos de rede de Cisco, Ubiquiti e outros. As vulnerabilidades de Dnspooq inclúen o envelenamento da caché de DNS, así como a execución remota de código. As vulnerabilidades foron corrixidas en dnsmasq 2.83.
En 2008, o recoñecido investigador de seguridade Dan Kaminsky descubriu e expuxo unha falla fundamental no mecanismo DNS de Internet. Kaminsky demostrou que os atacantes poden falsificar enderezos de dominio e roubar datos. Desde entón coñécese como o "Ataque Kaminsky".
DNS foi considerado un protocolo inseguro durante décadas, aínda que se supón que garante un certo nivel de integridade. É por iso que aínda se confia moito. Ao mesmo tempo, desenvolvéronse mecanismos para mellorar a seguridade do protocolo DNS orixinal. Estes mecanismos inclúen HTTPS, HSTS, DNSSEC e outras iniciativas. Non obstante, aínda con todos estes mecanismos en marcha, o secuestro de DNS segue sendo un ataque perigoso en 2021. Gran parte da Internet aínda depende do DNS do mesmo xeito que o fixo en 2008, e é susceptible aos mesmos tipos de ataques.
Vulnerabilidades de envenenamento da caché DNSpooq:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Estas vulnerabilidades son similares aos ataques SAD DNS informados recentemente por investigadores da Universidade de California e da Universidade de Tsinghua. Tamén se poden combinar as vulnerabilidades SAD DNS e DNSpooq para que os ataques sexan aínda máis fáciles. Tamén se informaron ataques adicionais con consecuencias pouco claras polos esforzos conxuntos das universidades (Poison Over Troubled Forwarders, etc.).
As vulnerabilidades funcionan reducindo a entropía. Debido ao uso dun hash débil para identificar as solicitudes de DNS e á coincidencia imprecisa da solicitude coa resposta, a entropía pódese reducir moito e só hai que adiviñar ~19 bits, facendo posible o envelenamento da caché. A forma en que dnsmasq procesa os rexistros CNAME permítelle falsificar unha cadea de rexistros CNAME e envelenar de forma efectiva ata 9 rexistros DNS á vez.
Vulnerabilidades de desbordamento do búfer: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. As 4 vulnerabilidades sinaladas están presentes no código coa implementación de DNSSEC e só aparecen cando a verificación mediante DNSSEC está activada na configuración.
Fonte: linux.org.ru