Ekipa mpikaroka avy amin'ny Oniversiten'i Kalifornia, Riverside dia namoaka karazany vaovao momba ny fanafihana DNS SAD (CVE-2021-20322) izay miasa na dia eo aza ny fiarovana nampiana tamin'ny taon-dasa mba hanakanana ny vulnerable CVE-2020-25705. Ny fomba vaovao amin'ny ankapobeny dia mitovy amin'ny vulnerability tamin'ny taon-dasa ary tsy mitovy afa-tsy amin'ny fampiasana karazana fonosana ICMP hafa hanamarina ny seranan-tsambo UDP mavitrika. Ny fanafihana natolotra dia mamela ny fanoloana ny angon-drakitra noforonina ao amin'ny cache server DNS, izay azo ampiasaina hanoloana ny adiresy IP amin'ny sehatra tsy misy dikany ao amin'ny cache ary mamerina ny fangatahana mankany amin'ny sehatra mankany amin'ny mpizara mpanafika.
Ny fomba atolotra dia tsy miasa afa-tsy ao amin'ny tambajotran'ny tambajotra Linux noho ny fifandraisany amin'ny mampiavaka ny mekanika fanodinana fonosana ICMP ao amin'ny Linux, izay miasa ho toy ny loharanon'ny data leakage izay manamora ny famaritana ny laharan'ny seranan-tsambo UDP ampiasain'ny mpizara handefasana. fangatahana ivelany. Ny fanovana izay manakana ny fiparitahan'ny fampahalalam-baovao dia noraisina tao amin'ny kernel Linux tamin'ny faran'ny volana Aogositra (ny fanamboarana dia nampidirina tao amin'ny kernel 5.15 sy ny fanavaozana ny volana septambra ho an'ny sampana LTS amin'ny kernel). Ny famahana dia miainga amin'ny fifindrana amin'ny fampiasana ny algorithm hashing SipHash amin'ny cache tambajotra fa tsy Jenkins Hash. Ny satan'ny fanamboarana ny vulnerability amin'ny fizarana dia azo dinihina amin'ireto pejy ireto: Debian, RHEL, Fedora, SUSE, Ubuntu.
Araka ny filazan'ireo mpikaroka izay namaritra ny olana, manodidina ny 38% amin'ireo vahaolana misokatra amin'ny tambajotra dia marefo, anisan'izany ny serivisy DNS malaza toy ny OpenDNS sy Quad9 (9.9.9.9). Raha ny rindrambaiko mpizara dia azo atao ny fanafihana amin'ny alΓ lan'ny fampiasana fonosana toy ny BIND, Unbound ary dnsmasq amin'ny mpizara Linux. Ny olana dia tsy miseho amin'ny mpizara DNS mandeha amin'ny rafitra Windows sy BSD. Mba hahomby amin'ny fanatanterahana fanafihana, dia ilaina ny mampiasa IP spoofing, i.e. ilaina ny tsy hanakanan'ny ISP an'ny mpanafika ny fonosana misy adiresy IP loharano sandoka.
Ho fampahatsiahivana, ny fanafihana DNS SAD dia mandingana ny fiarovana ampiana amin'ny mpizara DNS mba hanakanana ny fomba fanapoizinana cache DNS mahazatra naroson'i Dan Kaminsky tamin'ny 2008. Ny fomban'i Kaminsky dia manodinkodina ny habe kelin'ny sahan'ny DNS query ID, izay 16 bit fotsiny. Mba hisafidianana ny famantarana ny fifampiraharahana DNS marina ilaina amin'ny fanodikodinana ny anaran'ny mpampiantrano, dia ampy ny mandefa fangatahana eo amin'ny 7000 eo ho eo ary mamolavola valiny 140 arivo. Ny fanafihana dia mianjera amin'ny fandefasana fonosana marobe miaraka amin'ny fatorana IP noforonina ary miaraka amin'ny famantarana ny fifanakalozana DNS samihafa amin'ny DNS solver. Mba hisorohana ny fitahirizana ny valin-teny voalohany, ny valinteny dummy tsirairay dia misy anaran-tsehatra novaina kely (1.example.com, 2.example.com, 3.example.com, sns.).
Mba hiarovana amin'ity karazana fanafihana ity, ny mpanamboatra mpizara DNS dia nametraka fizarana kisendrasendra ny laharan'ny seranan-tserasera loharano izay nandefasana ny fangatahana famahana, izay nanonitra ny haben'ny famantarana tsy dia lehibe. Taorian'ny fampiharana ny fiarovana amin'ny fandefasana valim-panontaniana noforonina, ho fanampin'ny fifantenana famantarana 16-bit, dia ilaina ny mifidy iray amin'ireo seranana 64 arivo, izay nampitombo ny isan'ny safidy ho an'ny fifantenana ho 2^32.
Ny fomba SAD DNS dia ahafahanao manatsotra tanteraka ny famaritana ny laharan'ny seranan-tsambo ary mampihena ny fanafihana amin'ny fomba mahazatra Kaminsky. Ny mpanafika dia afaka mahita ny fidirana amin'ny seranan-tsambo UDP tsy ampiasaina sy mavitrika amin'ny alΓ lan'ny fanararaotana ny fampahalalana tafaporitsaka momba ny asan'ny seranan-tsambon'ny tambajotra rehefa manamboatra fonosana valin'ny ICMP. Ny fomba dia mamela antsika hampihena ny isan'ny safidy fikarohana amin'ny 4 baiko lehibe - 2^16+2^16 fa tsy 2^32 (131_072 fa tsy 4_294_967_296). Ny fivoahan'ny fampahalalana izay ahafahanao mamaritra haingana ny seranan-tsambo UDP mavitrika dia vokatry ny lesoka amin'ny kaody amin'ny fanodinana ny fonosana ICMP miaraka amin'ny fangatahana fisarahana (ICMP Fragmentation Needed flag) na redirection (ICMP Redirect flag). Ny fandefasana fonosana toy izany dia manova ny toetry ny cache ao amin'ny stack tambajotra, izay ahafahana mamaritra, mifototra amin'ny valintenin'ny mpizara, izay seranan-tsambo UDP mavitrika ary iza no tsy.
Scenario Fanafihana: Rehefa manandrana mamaha ny anaran'ny sehatra ny mpandahateny DNS dia mandefa fanontaniana UDP amin'ny mpizara DNS manompo ny sehatra. Raha miandry valiny ny mpamaritra, ny mpanafika dia afaka mamaritra haingana ny laharan'ny seranan-tsambo izay nampiasaina handefasana ny fangatahana sy handefasana valin-kafatra ho azy, haka tahaka ny mpizara DNS manompo ny sehatra amin'ny alΓ lan'ny fanodikodinana adiresy IP. Ny DNS solver dia hameno ny angon-drakitra alefa amin'ny valin-teny sandoka ary mandritra ny fotoana fohy dia hamerina ny adiresy IP nosoloin'ny mpanafika ho an'ny fangatahana DNS hafa rehetra momba ny anaran-tsehatra.
Source: opennet.ru