Otu ndị nyocha sitere na Mahadum California, Riverside ebipụtala ụdị ọhụrụ nke mwakpo SAD DNS (CVE-2021-20322) na-arụ ọrụ n'agbanyeghị nchebe agbakwunyere n'afọ gara aga iji gbochie ọghọm CVE-2020-25705. Usoro ọhụrụ a na-adịkarị ka adịghị ike nke afọ gara aga ma dị iche na naanị n'iji ụdị ngwugwu ICMP dị iche iche lelee ọdụ ụgbọ mmiri UDP na-arụ ọrụ. Mwakpo a na-atụ aro na-enye ohere maka nnọchi nke akụkọ ifo n'ime oghere nkesa DNS, nke enwere ike iji dochie adreesị IP nke ngalaba aka ike na cache na redirect arịrịọ na ngalaba na sava onye mwakpo ahụ.
Usoro a tụrụ aro na-arụ ọrụ naanị na nchịkọta netwọkụ Linux n'ihi njikọ ya na ihe dị iche iche nke usoro nhazi ngwugwu ICMP na Linux, nke na-arụ ọrụ dị ka isi iyi nke ntapu data nke na-eme ka mkpebi nke nọmba ọdụ ụgbọ mmiri UDP nke sava ahụ ji ziga ozi. arịrịọ mpụga. A nakweere mgbanwe ndị na-egbochi ntapu ozi na Linux kernel na njedebe nke Ọgọst (ndozi ahụ gụnyere na kernel 5.15 na mmelite Septemba na ngalaba LTS nke kernel). Ndozi ahụ gbadara ka ịgbanwee iji SipHash hashing algọridim na cache netwọk kama Jenkins Hash. Enwere ike ịlele ọkwa nke idozi adịghị ike na nkesa na ibe ndị a: Debian, RHEL, Fedora, SUSE, Ubuntu.
Dị ka ndị nchọpụta chọpụtara nsogbu ahụ, ihe dịka 38% nke ndị na-emepe emepe na netwọk adịghị mfe, gụnyere ọrụ DNS ndị a ma ama dị ka OpenDNS na Quad9 (9.9.9.9). Banyere ngwanrọ nkesa, enwere ike ibuso ọgụ site na iji ngwugwu dị ka BIND, Unbound na dnsmasq na sava Linux. Nsogbu a apụtaghị na sava DNS na-agba ọsọ na sistemụ Windows na BSD. Iji mee mwakpo nke ọma, ọ dị mkpa iji IP spoofing, i.e. achọrọ ka ISP onye mwakpo ahụ ghara igbochi ngwugwu nwere adreesị IP adịgboroja.
Dị ka ihe ncheta, mwakpo SAD DNS na-agafe nchebe agbakwunyere na sava DNS iji gbochie usoro nsị cache DNS kpochapụrụ nke Dan Kaminsky tụpụtara na 2008. Usoro Kaminsky na-emegharị ntakịrị nha nke oghere ID ajụjụ DNS, nke bụ naanị 16 bits. Ka ịhọrọ njirimara azụmahịa DNS ziri ezi dị mkpa maka ịkpọ aha onye ọbịa, ọ ga-ezuru izipu arịrịọ 7000 ma mee ihe dịka 140 puku azịza ụgha. Mwakpo a na-agbadata izipu ọnụ ọgụgụ buru ibu nke nwere njikọ IP efu yana yana njirimara azụmahịa DNS dị iche iche na onye na-edozi DNS. Iji gbochie caching nke nzaghachi mbụ, nzaghachi ọ bụla na-ekpochapụ nwere aha ngalaba gbanwetụrụ ntakịrị (1.example.com, 2.example.com, 3.example.com, wdg).
Iji chebe megide ụdị ọgụ a, ndị na-emepụta ihe nkesa DNS mebere nkesa na-enweghị usoro nke ọnụọgụ ọdụ ụgbọ mmiri netwọkụ isi iyi nke ezigara arịrịọ mkpebi, nke na-akwụ ụgwọ maka njirimara zuru oke ezughi oke. Mgbe emejuputa nchedo maka izipu nzaghachi akụkọ ifo, na mgbakwunye na ịhọrọ njirimara 16-bit, ọ dị mkpa ịhọrọ otu n'ime ọdụ ụgbọ mmiri 64, nke mụbara ọnụ ọgụgụ nhọrọ maka nhọrọ na 2 ^ 32.
Usoro SAD DNS na-enye gị ohere ime ka mkpebi nke nọmba ọdụ ụgbọ mmiri dị mfe ma belata ọgụ na usoro Kaminsky kpochapụwo. Onye na-awakpo nwere ike ịchọpụta ohere ịnweta ọdụ ụgbọ mmiri UDP na-adịghị eji ya yana nke na-arụ ọrụ site n'iji ohere nke ozi ewepụtara gbasara ọrụ ọdụ ụgbọ mmiri netwọk mgbe ị na-ahazi ngwugwu nzaghachi ICMP. Usoro ahụ na-enye anyị ohere ibelata ọnụọgụ nhọrọ ọchụchọ site na iwu 4 nke ịdị ukwuu - 2^16+2^16 kama 2^32 (131_072 kama 4_294_967_296). Mwepu nke ozi na-enye gị ohere ikpebi ngwa ngwa UDP ọdụ ụgbọ mmiri na-arụ ọrụ bụ ntụpọ dị na koodu maka nhazi ngwugwu ICMP na arịrịọ nkewa (ICMP Fragmentation Needed flag) ma ọ bụ redirection (ICMP Redirect flag). Izipu ngwugwu ndị dị otú ahụ na-agbanwe ọnọdụ nke cache na netwọk netwọk, nke na-eme ka o kwe omume ikpebi, dabere na nzaghachi nke ihe nkesa, nke ọdụ ụgbọ mmiri UDP na-arụ ọrụ na nke na-adịghị.
Mmegide Mmegide: Mgbe onye na-edozi DNS na-agbalị idozi ngalaba aha, ọ na-eziga ajụjụ UDP na sava DNS na-eje ozi na ngalaba. Mgbe onye na-edozi ya na-echere nzaghachi, onye na-awakpo nwere ike ikpebi ngwa ngwa nọmba ọdụ ụgbọ mmiri ejiri ziga arịrịọ ahụ wee ziga nzaghachi adịgboroja na ya, na-egosipụta ihe nkesa DNS na-eje ozi na ngalaba site na iji adreesị IP. Onye na-edozi DNS ga-echekwa data ezigara na nzaghachi adịgboroja ma ruo oge ụfọdụ ga-eweghachi adreesị IP nke onye mwakpo ahụ nọchiri maka arịrịọ DNS ndị ọzọ maka aha ngalaba ahụ.
isi: opennet.ru