A JSOF kutatólaboratóriumainak szakemberei hét új biztonsági rést jelentettek a dnsmasq DNS/DHCP szerveren. A dnsmasq szerver nagyon népszerű, és alapértelmezés szerint számos Linux disztribúcióban, valamint a Cisco, Ubiquiti és mások hálózati berendezéseiben használatos. A Dnspooq sebezhetőségei közé tartozik a DNS-gyorsítótár mérgezése, valamint a távoli kódfuttatás. A sérülékenységeket a dnsmasq 2.83-ban javították.
2008-ban a neves biztonságkutató, Dan Kaminsky felfedezte és felfedte az internet DNS-mechanizmusának alapvető hibáját. Kaminsky bebizonyította, hogy a támadók képesek hamisítani a domain címeket és ellopni az adatokat. Ez azóta „Kaminsky-támadás” néven vált ismertté.
A DNS-t évtizedek óta nem biztonságos protokollnak tekintik, bár állítólag bizonyos szintű integritást garantál. Ez az oka annak, hogy még mindig erősen támaszkodnak rá. Ezzel egy időben olyan mechanizmusokat fejlesztettek ki, amelyek javítják az eredeti DNS-protokoll biztonságát. Ezek a mechanizmusok magukban foglalják a HTTPS, HSTS, DNSSEC és más kezdeményezéseket. A DNS-eltérítés 2021-ben még akkor is veszélyes támadás, ha mindezen mechanizmusok működnek. Az internet nagy része továbbra is ugyanúgy a DNS-re támaszkodik, mint 2008-ban, és ugyanilyen típusú támadásokra is ki van téve.
DNSpooq gyorsítótár mérgezési sebezhetőségei:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Ezek a sérülékenységek hasonlóak az SAD DNS-támadásokhoz, amelyekről a Kaliforniai Egyetem és a Tsinghua Egyetem kutatói nemrégiben számoltak be. A SAD DNS és a DNSpooq sebezhetőségei is kombinálhatók a támadások még egyszerűbbé tétele érdekében. További, tisztázatlan következményekkel járó támadásokról is beszámoltak az egyetemek közös erőfeszítései (Poison Over Troubled Forwarders stb.).
A sérülékenységek az entrópia csökkentésével működnek. A DNS-kérelmek azonosítására szolgáló gyenge hash használata és a kérés és a válasz pontatlan egyeztetése miatt az entrópia jelentősen csökkenthető, és csak ~19 bitet kell kitalálni, ami lehetővé teszi a gyorsítótár-mérgezést. Az a mód, ahogyan a dnsmasq feldolgozza a CNAME rekordokat, lehetővé teszi a CNAME rekordok láncának meghamisítását, és egyszerre akár 9 DNS-rekordot is megmérgez.
Puffertúlcsordulási biztonsági rések: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. Mind a 4 megjelölt sebezhetőség megtalálható a kódban a DNSSEC implementációval, és csak akkor jelennek meg, ha a DNSSEC-en keresztüli ellenőrzés engedélyezve van a beállításokban.
Forrás: linux.org.ru