Hópur vísindamanna frá háskólanum í Kaliforníu, Riverside, hefur gefið út nýtt afbrigði af SAD DNS árásinni (CVE-2021-20322) sem virkar þrátt fyrir varnir sem bætt var við á síðasta ári til að hindra CVE-2020-25705 varnarleysið. Nýja aðferðin er almennt svipuð og varnarleysi síðasta árs og er aðeins frábrugðin notkun annars konar ICMP pakka til að athuga virk UDP tengi. Fyrirhuguð árás gerir ráð fyrir að skipta gervigögnum inn í skyndiminni DNS netþjónsins, sem hægt er að nota til að skipta um IP tölu handahófs léns í skyndiminni og beina beiðnum til lénsins á netþjón árásarmannsins.
Fyrirhuguð aðferð virkar aðeins í Linux netstafla vegna tengingar við sérkenni ICMP pakkavinnslukerfisins í Linux, sem virkar sem uppspretta gagnaleka sem einfaldar ákvörðun UDP gáttarnúmersins sem þjónninn notar til að senda ytri beiðni. Breytingar sem hindra upplýsingaleka voru teknar upp í Linux kjarnann í lok ágúst (leiðréttingin var innifalin í kjarna 5.15 og septemberuppfærslum á LTS greinum kjarnans). Lagfæringin snýst um að skipta yfir í að nota SipHash kjötkássa reikniritið í netskyndiminni í stað Jenkins Hash. Staðan við að laga varnarleysið í dreifingum er hægt að meta á þessum síðum: Debian, RHEL, Fedora, SUSE, Ubuntu.
Samkvæmt rannsakendum sem greindu vandamálið eru um 38% opinna lausna á netinu viðkvæmir, þar á meðal vinsælar DNS-þjónustur eins og OpenDNS og Quad9 (9.9.9.9). Hvað varðar netþjónahugbúnað er hægt að framkvæma árás með því að nota pakka eins og BIND, Unbound og dnsmasq á Linux netþjóni. Vandamálið birtist ekki á DNS netþjónum sem keyra á Windows og BSD kerfum. Til að framkvæma árás með góðum árangri er nauðsynlegt að nota IP-spoofing, þ.e. það er krafist að ISP árásarmannsins loki ekki á pakka með fölsuðu IP-tölu.
Til áminningar, SAD DNS árásin fer framhjá vörnum sem bætt er við DNS netþjóna til að loka fyrir klassíska DNS skyndiminni eitrunaraðferð sem Dan Kaminsky lagði til árið 2008. Aðferð Kaminskys vinnur með örlítið stærð DNS fyrirspurnareitsins, sem er aðeins 16 bitar. Til að velja rétta DNS-viðskiptaauðkennið sem er nauðsynlegt fyrir skopstæling hýsingarnafna er nóg að senda um það bil 7000 beiðnir og líkja eftir um 140 þúsund skálduðum svörum. Árásin snýst um að senda mikinn fjölda pakka með gervi IP-bindingu og með mismunandi DNS-viðskiptaauðkenni til DNS-leysarans. Til að koma í veg fyrir að fyrsta svarið sé vistað í skyndiminni, inniheldur hvert dummy-svar lítið breytt lén (1.example.com, 2.example.com, 3.example.com, osfrv.).
Til að verjast þessari tegund af árásum innleiddu framleiðendur DNS-netþjóna handahófskennda dreifingu fjölda frumnetsgátta sem upplausnarbeiðnir eru sendar frá, sem bætti upp fyrir ófullnægjandi stærð auðkennisins. Eftir að hafa innleitt vernd fyrir að senda ímyndað svar, auk þess að velja 16 bita auðkenni, varð nauðsynlegt að velja eina af 64 þúsund höfnum, sem jók fjölda valkosta í 2^32.
SAD DNS aðferðin gerir þér kleift að einfalda ákvörðun netgáttarnúmersins verulega og draga úr árásinni í klassíska Kaminsky aðferðina. Árásarmaður getur greint aðgang að ónotuðum og virkum UDP-tengjum með því að nýta sér upplýsingar sem lekið hafa um virkni netgátta við vinnslu ICMP-svarpakka. Aðferðin gerir okkur kleift að fækka leitarvalkostum um 4 stærðargráður - 2^16+2^16 í stað 2^32 (131_072 í stað 4_294_967_296). Leki upplýsinga sem gerir þér kleift að ákvarða fljótt virkar UDP tengi stafar af galla í kóðanum fyrir vinnslu ICMP pakka með sundurliðunarbeiðnum (ICMP Fragmentation Needed flag) eða tilvísun (ICMP Redirect flag). Sending slíkra pakka breytir stöðu skyndiminni í netstafla, sem gerir það mögulegt að ákvarða, byggt á svörun þjónsins, hvaða UDP tengi er virk og hver ekki.
Árásarsviðsmynd: Þegar DNS-leysari reynir að leysa úr lén, sendir hann UDP fyrirspurn til DNS-þjónsins sem þjónar léninu. Á meðan lausnarmaðurinn bíður eftir svari getur árásarmaður fljótt ákvarðað upprunagáttarnúmerið sem var notað til að senda beiðnina og sent falsað svar við henni, sem líkir eftir DNS-þjóninum sem þjónar léninu með IP-töluskemmdum. DNS-leysarinn mun geyma gögnin sem send eru í falsa svarinu og mun í nokkurn tíma skila IP-tölu sem árásarmaðurinn hefur skipt út fyrir allar aðrar DNS-beiðnir um lénið.
Heimild: opennet.ru