מתקפת DNS SAD חדשה להכנסת נתונים מזויפים למטמון ה-DNS

צוות חוקרים מאוניברסיטת קליפורניה, ריברסייד פרסם גרסה חדשה של מתקפת DNS SAD (CVE-2021-20322) שפועלת למרות הגנות שנוספו בשנה שעברה כדי לחסום את הפגיעות CVE-2020-25705. השיטה החדשה דומה בדרך כלל לפגיעות של שנה שעברה והיא שונה רק בשימוש בסוג אחר של מנות ICMP לבדיקת יציאות UDP פעילות. המתקפה המוצעת מאפשרת החלפה של נתונים פיקטיביים לתוך מטמון שרת ה-DNS, אשר ניתן להשתמש בהם כדי להחליף את כתובת ה-IP של דומיין שרירותי במטמון ולהפנות בקשות לדומיין לשרת של התוקף.

השיטה המוצעת פועלת רק בערימת הרשת של לינוקס בשל החיבור שלה למוזרויות של מנגנון עיבוד מנות ICMP בלינוקס, שפועל כמקור לדליפת נתונים המפשטת את קביעת מספר יציאת ה-UDP המשמש את השרת לשליחת בקשה חיצונית. שינויים שחוסמים דליפת מידע אומצו לתוך ליבת לינוקס בסוף אוגוסט (התיקון נכלל ב-kernel 5.15 ועדכוני ספטמבר לענפי ה-LTS של הקרנל). התיקון מסתכם במעבר לשימוש באלגוריתם הגיבוב של SipHash במטמונים ברשת במקום Jenkins Hash. ניתן להעריך את מצב תיקון הפגיעות בהפצות בדפים הבאים: Debian, RHEL, Fedora, SUSE, Ubuntu.

לפי החוקרים שזיהו את הבעיה, כ-38% מהפותחים הפתוחים ברשת פגיעים, כולל שירותי DNS פופולריים כמו OpenDNS ו-Quad9 (9.9.9.9). באשר לתוכנת שרת, התקפה יכולה להתבצע באמצעות חבילות כגון BIND, Unbound ו-dnsmasq על שרת לינוקס. הבעיה לא מופיעה בשרתי DNS הפועלים במערכות Windows ו-BSD. כדי לבצע תקיפה בהצלחה, יש צורך להשתמש בזיוף IP, כלומר. נדרש ש-ISP של התוקף לא יחסום מנות עם כתובת IP מזויפת מקור.

כזכור, מתקפת ה-DNS של SAD עוקפת את ההגנות שנוספו לשרתי ה-DNS כדי לחסום את שיטת הרעלת מטמון ה-DNS הקלאסית שהוצעה ב-2008 על ידי דן קמינסקי. השיטה של ​​קמינסקי מבצעת מניפולציות בגודל הזעיר של שדה מזהה שאילתת ה-DNS, שהוא רק 16 סיביות. כדי לבחור את מזהה עסקת ה-DNS הנכון הדרוש לזיוף שם מארח, מספיק לשלוח כ-7000 בקשות ולדמות כ-140 אלף תגובות פיקטיביות. המתקפה מסתכמת בשליחת מספר רב של מנות עם כריכת IP פיקטיבית ועם מזהי עסקאות DNS שונים לפותר ה-DNS. כדי למנוע שמירה במטמון של התגובה הראשונה, כל תגובת דמה מכילה שם דומיין שונה מעט (1.example.com, 2.example.com, 3.example.com וכו').

כדי להגן מפני סוג זה של התקפה, יצרני שרתי DNS יישמו חלוקה אקראית של מספרים של יציאות רשת מקור שמהן נשלחות בקשות רזולוציה, מה שפיצה על הגודל הלא מספיק של המזהה. לאחר הטמעת הגנה לשליחת תגובה פיקטיבית, בנוסף לבחירת מזהה של 16 סיביות, היה צורך לבחור באחת מתוך 64 אלף יציאות, מה שהגדיל את מספר אפשרויות הבחירה ל-2^32.

שיטת SAD DNS מאפשרת לך לפשט באופן קיצוני את קביעת מספר יציאת הרשת ולהפחית את ההתקפה לשיטת קמינסקי הקלאסית. תוקף יכול לזהות גישה ליציאות UDP שאינן בשימוש ופעילות על ידי ניצול מידע שדלף על הפעילות של יציאות רשת בעת עיבוד מנות תגובה של ICMP. השיטה מאפשרת לנו להקטין את מספר אפשרויות החיפוש ב-4 סדרי גודל - 2^16+2^16 במקום 2^32 (131_072 במקום 4_294_967_296). דליפת המידע המאפשרת לקבוע במהירות יציאות UDP פעילות נגרמת בשל פגם בקוד לעיבוד מנות ICMP עם בקשות פיצול (ICMP Fragmentation Needed flag) או ניתוב מחדש (ICMP Redirect flag). שליחת מנות כאלה משנה את מצב המטמון בערימת הרשת, מה שמאפשר לקבוע, על סמך תגובת השרת, איזו יציאת UDP פעילה ואיזו לא.

תרחיש התקפה: כאשר פותר DNS מנסה לפתור שם דומיין, הוא שולח שאילתת UDP לשרת ה-DNS המשרת את הדומיין. בזמן שהפותר ממתין לתגובה, תוקף יכול לקבוע במהירות את מספר יציאת המקור ששימש לשליחת הבקשה ולשלוח אליה תגובה מזויפת, תוך התחזות לשרת ה-DNS המשרת את הדומיין באמצעות זיוף כתובות IP. פותר ה-DNS ישמור במטמון את הנתונים שנשלחו בתגובה המזויפת ולמשך זמן מה יחזיר את כתובת ה-IP שהוחלפה על ידי התוקף בכל שאר בקשות ה-DNS עבור שם הדומיין.

מקור: OpenNet.ru