Specialisten van JSOF-onderzoekslaboratoria rapporteerden zeven nieuwe kwetsbaarheden in de DNS/DHCP-server dnsmasq. De dnsmasq-server is erg populair en wordt standaard gebruikt in veel Linux-distributies, maar ook in netwerkapparatuur van Cisco, Ubiquiti en anderen. Dnspooq-kwetsbaarheden omvatten DNS-cachevergiftiging en uitvoering van externe code. De kwetsbaarheden zijn opgelost in dnsmasq 2.83.
In 2008 ontdekte en onthulde de bekende beveiligingsonderzoeker Dan Kaminsky een fundamentele fout in het DNS-mechanisme van het internet. Kaminsky bewees dat aanvallers domeinadressen kunnen vervalsen en gegevens kunnen stelen. Dit is sindsdien bekend geworden als de "Kaminsky-aanval".
DNS wordt al tientallen jaren gezien als een onveilig protocol, hoewel het een bepaald niveau van integriteit zou moeten garanderen. Het is om deze reden dat er nog steeds sterk op wordt vertrouwd. Tegelijkertijd werden mechanismen ontwikkeld om de veiligheid van het oorspronkelijke DNS-protocol te verbeteren. Deze mechanismen omvatten HTTPS, HSTS, DNSSEC en andere initiatieven. Maar zelfs met al deze mechanismen is DNS-kaping anno 2021 nog steeds een gevaarlijke aanval. Een groot deel van het internet is nog steeds op dezelfde manier afhankelijk van DNS als in 2008, en is vatbaar voor dezelfde soorten aanvallen.
Kwetsbaarheden door DNSpooq-cachevergiftiging:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Deze kwetsbaarheden zijn vergelijkbaar met SAD DNS-aanvallen die onlangs zijn gerapporteerd door onderzoekers van de University of California en Tsinghua University. SAD DNS- en DNSpooq-kwetsbaarheden kunnen ook worden gecombineerd om aanvallen nog eenvoudiger te maken. Er zijn ook aanvullende aanvallen met onduidelijke gevolgen gemeld door gezamenlijke inspanningen van universiteiten (Poison Over Troubled Forwarders, enz.).
Kwetsbaarheden werken door de entropie te verminderen. Door het gebruik van een zwakke hash om DNS-verzoeken te identificeren en de onnauwkeurige afstemming van het verzoek op het antwoord, kan de entropie aanzienlijk worden verminderd en hoeven slechts ~19 bits te worden geraden, waardoor cachevergiftiging mogelijk wordt. De manier waarop dnsmasq CNAME-records verwerkt, maakt het mogelijk een keten van CNAME-records te spoofen en effectief tot 9 DNS-records tegelijk te vergiftigen.
Bufferoverloopkwetsbaarheden: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. Alle vier de geconstateerde kwetsbaarheden zijn aanwezig in de code bij DNSSEC-implementatie en verschijnen alleen als controle via DNSSEC is ingeschakeld in de instellingen.
Bron: linux.org.ru