JSOF судалгааны лабораторийн мэргэжилтнүүд DNS/DHCP серверийн dnsmasq-д долоон шинэ цоорхой байгааг мэдээлсэн. Dnsmasq сервер нь маш алдартай бөгөөд анхдагч байдлаар олон Linux түгээлтүүд, мөн Cisco, Ubiquiti болон бусад сүлжээний тоног төхөөрөмжид ашиглагддаг. Dnspooq-ийн эмзэг байдал нь DNS кэшийн хордлого, кодыг алсаас гүйцэтгэх зэрэг орно. dnsmasq 2.83 дээр сул талуудыг зассан.
2008 онд аюулгүй байдлын нэрт судлаач Дан Камински интернетийн DNS механизмын үндсэн согогийг илрүүлж, илрүүлсэн. Каминский халдагчид домэйн хаягийг хууран мэхэлж, өгөгдлийг хулгайлж чаддаг гэдгийг нотолсон. Энэ нь "Каминскийн довтолгоо" гэж нэрлэгдэх болсон.
DNS нь тодорхой түвшний бүрэн бүтэн байдлыг хангах ёстой байсан ч хэдэн арван жилийн турш аюултай протокол гэж тооцогддог. Энэ шалтгааны улмаас энэ нь маш их найдаж байна. Үүний зэрэгцээ анхны DNS протоколын аюулгүй байдлыг сайжруулах механизмуудыг боловсруулсан. Эдгээр механизмууд нь HTTPS, HSTS, DNSSEC болон бусад санаачлагуудыг агуулдаг. Гэсэн хэдий ч эдгээр бүх механизмууд байгаа ч DNS хулгайлах нь 2021 онд аюултай халдлага хэвээр байна. Интернэтийн ихэнх хэсэг нь 2008 оныхтой адил DNS-д тулгуурладаг бөгөөд ижил төрлийн халдлагад өртөмтгий хэвээр байна.
DNSpooq кэшийн хордлогын эмзэг байдал:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Эдгээр эмзэг байдал нь саяхан Калифорнийн их сургууль болон Цинхуа их сургуулийн судлаачдын мэдээлсэн SAD DNS халдлагатай төстэй юм. SAD DNS болон DNSpooq-ийн сул талуудыг нэгтгэж халдлага үйлдэхэд илүү хялбар болгох боломжтой. Үр дагавар нь тодорхойгүй нэмэлт халдлага их сургуулиудын хамтарсан хүчин чармайлтаар (Poison Over Troubled Forwarders гэх мэт) бүртгэгдсэн байна.
Эмзэг байдал нь энтропийг бууруулах замаар ажилладаг. DNS хүсэлтийг тодорхойлохын тулд сул хэш ашигласан ба хүсэлтийг хариулттай тохироогүй тул энтропи их хэмжээгээр буурч, зөвхөн ~19 бит таах шаардлагатай тул кэшийг хордуулах боломжтой. Dnsmasq-ийн CNAME бичлэгийг боловсруулах арга нь CNAME бичлэгийн гинжийг хуурч, нэг удаад 9 хүртэлх DNS бичлэгийг үр дүнтэй хордуулах боломжийг олгодог.
Буфер хэт их сул талууд: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. Бүх тэмдэглэсэн 4 эмзэг байдал нь DNSSEC хэрэгжүүлэлттэй кодонд байгаа бөгөөд тохиргоонд DNSSEC-ээр дамжуулан шалгахыг идэвхжүүлсэн үед л гарч ирдэг.
Эх сурвалж: linux.org.ru