E Team vu Fuerscher vun der University of California, Riverside huet eng nei Variant vum SAD DNS Attack publizéiert (CVE-2021-20322) déi funktionnéiert trotz Schutzen déi d'lescht Joer bäigefüügt goufen fir d'CVE-2020-25705 Schwachstelle ze blockéieren. Déi nei Method ass allgemeng ähnlech wéi d'lescht Joer Schwachstelle an ënnerscheet sech nëmmen an der Notzung vun enger anerer Aart vun ICMP Päckchen fir aktiv UDP Ports ze kontrolléieren. De proposéierten Attack erlaabt d'Ersatz vun fiktiven Donnéeën an den DNS-Server-Cache, déi benotzt kënne ginn fir d'IP Adress vun engem arbiträren Domain am Cache z'ersetzen an Ufroen op d'Domain op den Server vum Attacker ze redirectéieren.
Déi proposéiert Method funktionnéiert nëmmen am Linux Netzwierkstack wéinst senger Verbindung mat de Besonneschheete vum ICMP Paketveraarbechtungsmechanismus am Linux, deen als Quell vun Datelekage wierkt, déi d'Bestëmmung vun der UDP Portnummer vereinfacht, déi vum Server benotzt gëtt fir en extern Ufro. Ännerungen déi d'Informatiounsleckage blockéieren goufen Enn August an de Linux Kernel ugeholl (d'Fix gouf am Kernel 5.15 a September Updates op d'LTS Filialen vum Kernel abegraff). De Fix kacht erof fir ze wiesselen op de SipHash Hashing Algorithmus an Netzwierkcaches ze benotzen anstatt Jenkins Hash. De Status vun der Fixéierung vun der Schwachstelle bei Verdeelungen kann op dëse Säiten bewäert ginn: Debian, RHEL, Fedora, SUSE, Ubuntu.
Laut de Fuerscher, déi de Problem identifizéiert hunn, sinn ongeféier 38% vun oppene Resolveren am Netz vulnerabel, dorënner populär DNS-Servicer wéi OpenDNS a Quad9 (9.9.9.9). Wat Serversoftware ugeet, kann en Attack duerchgefouert ginn andeems Dir Packagen wéi BIND, Unbound an dnsmasq op engem Linux Server benotzt. De Problem erschéngt net op DNS Serveren déi op Windows a BSD Systemer lafen. Fir en Attack erfollegräich auszeféieren, ass et néideg IP Spoofing ze benotzen, d.h. et ass erfuerderlech datt den ISP vum Ugräifer keng Pakete mat enger falscher Quell IP Adress blockéiert.
Als Erënnerung, de SAD DNS Attack ëmgoen d'Protectiounen, déi op DNS-Server bäigefüügt ginn, fir déi klassesch DNS Cache Vergëftungsmethod ze blockéieren, déi am 2008 vum Dan Kaminsky proposéiert gouf. Dem Kaminsky seng Method manipuléiert déi kleng Gréisst vum DNS Ufro ID Feld, wat nëmmen 16 Bits ass. Fir de richtegen DNS Transaktiounsidentifizéierer ze wielen deen néideg ass fir Hostnumm Spoofing, ass et genuch fir ongeféier 7000 Ufroen ze schécken an ongeféier 140 Tausend fiktiv Äntwerten ze simuléieren. D'Attack kachen erof fir eng grouss Zuel vu Päck mat enger fiktiver IP Bindung a mat verschiddenen DNS Transaktiounsidentifizéierer un den DNS Resolver ze schécken. Fir Cache vun der éischter Äntwert ze verhënneren, enthält all Dummy Äntwert e liicht geännerten Domain Numm (1.example.com, 2.example.com, 3.example.com, etc.).
Fir géint dës Zort Attack ze schützen, hunn DNS-Serverhersteller eng zoufälleg Verdeelung vun Zuelen vu Quellnetzhäfen ëmgesat, aus deenen d'Resolutiounsufroe geschéckt ginn, wat fir déi net genuch grouss Gréisst vum Identifizéierer kompenséiert huet. No der Ëmsetzung vum Schutz fir eng fiktiv Äntwert ze schécken, nieft der Auswiel vun engem 16-Bit Identifizéierer, gouf et néideg ee vun de 64 Tausend Ports ze wielen, wat d'Zuel vun de Auswieloptiounen op 2^32 erhéicht huet.
D'SAD DNS Method erlaabt Iech d'Determinatioun vun der Netzwierkportnummer radikal ze vereinfachen an den Attack op déi klassesch Kaminsky Method ze reduzéieren. En Ugräifer kann Zougang zu onbenotzten an aktiven UDP Ports entdecken andeems se d'Informatioun iwwer d'Aktivitéit vun de Netzwierkporte profitéieren wann Dir ICMP Äntwertpakete veraarbecht. D'Methode erlaabt eis d'Zuel vun de Sichoptiounen ëm 4 Uerderen ze reduzéieren - 2^16+2^16 amplaz 2^32 (131_072 amplaz 4_294_967_296). De Leck vun Informatioun, déi Iech erlaabt séier aktiv UDP Ports ze bestëmmen, gëtt duerch e Feeler am Code verursaacht fir ICMP Päckchen mat Fragmentatiounsufroen (ICMP Fragmentation Needed Fändel) oder Viruleedung (ICMP Redirect Fändel). Schécken vun esou Päckchen ännert den Zoustand vum Cache am Netzstack, wat et méiglech mécht, baséiert op der Äntwert vum Server ze bestëmmen, wéi en UDP-Port aktiv ass a wat net.
Attack Szenario: Wann en DNS Resolver probéiert en Domain Numm ze léisen, schéckt se eng UDP Ufro un den DNS Server deen d'Domain servéiert. Wärend de Resolver op eng Äntwert waart, kann en Ugräifer séier d'Quellportnummer bestëmmen, déi benotzt gouf fir d'Ufro ze schécken an eng gefälschte Äntwert drop ze schécken, den DNS-Server ze imitéieren deen d'Domain servéiert mat IP Adress Spoofing. Den DNS Resolver wäert d'Donnéeën, déi an der gefälschte Äntwert geschéckt ginn, cache a fir eng Zäit d'IP Adress zréckginn, déi vum Ugräifer ersat gëtt fir all aner DNS Ufroe fir den Domain Numm.
Source: opennet.ru