Gli specialisti dei laboratori di ricerca JSOF hanno segnalato sette nuove vulnerabilità nel server DNS/DHCP dnsmasq. Il server dnsmasq è molto popolare e viene utilizzato per impostazione predefinita in molte distribuzioni Linux, nonché nelle apparecchiature di rete di Cisco, Ubiquiti e altri. Le vulnerabilità di Dnspooq includono l'avvelenamento della cache DNS e l'esecuzione di codice in modalità remota. Le vulnerabilità sono state corrette in dnsmasq 2.83.
Nel 2008, il famoso ricercatore di sicurezza Dan Kaminsky ha scoperto e messo in luce un difetto fondamentale nel meccanismo DNS di Internet. Kaminsky ha dimostrato che gli aggressori possono falsificare gli indirizzi di dominio e rubare dati. Da allora questo è diventato noto come "l'attacco di Kaminsky".
Da decenni il DNS è considerato un protocollo non sicuro, anche se dovrebbe garantire un certo livello di integrità. È per questo motivo che si fa ancora molto affidamento su di esso. Allo stesso tempo, sono stati sviluppati meccanismi per migliorare la sicurezza del protocollo DNS originale. Questi meccanismi includono HTTPS, HSTS, DNSSEC e altre iniziative. Tuttavia, anche con tutti questi meccanismi in atto, il dirottamento DNS rappresenta ancora un attacco pericoloso nel 2021. Gran parte di Internet si basa ancora sul DNS come nel 2008 ed è suscettibile agli stessi tipi di attacchi.
Vulnerabilità di avvelenamento della cache DNSpooq:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Queste vulnerabilità sono simili agli attacchi DNS SAD recentemente segnalati dai ricercatori dell’Università della California e della Tsinghua University. Le vulnerabilità SAD DNS e DNSpooq possono anche essere combinate per rendere gli attacchi ancora più semplici. Ulteriori attacchi con conseguenze non chiare sono stati segnalati anche da sforzi congiunti di università (Poison Over Troubled Forwarders, ecc.).
Le vulnerabilità funzionano riducendo l’entropia. A causa dell'uso di un hash debole per identificare le richieste DNS e della corrispondenza imprecisa della richiesta con la risposta, l'entropia può essere notevolmente ridotta e devono essere indovinati solo circa 19 bit, rendendo possibile l'avvelenamento della cache. Il modo in cui dnsmasq elabora i record CNAME gli consente di falsificare una catena di record CNAME e di avvelenare efficacemente fino a 9 record DNS alla volta.
Vulnerabilità di overflow del buffer: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. Tutte e 4 le vulnerabilità segnalate sono presenti nel codice con l'implementazione DNSSEC e compaiono solo quando il controllo tramite DNSSEC è abilitato nelle impostazioni.
Fonte: linux.org.ru