Spesialister fra JSOF forskningslaboratorier rapporterte syv nye sårbarheter i DNS/DHCP-serveren dnsmasq. dnsmasq-serveren er veldig populær og brukes som standard i mange Linux-distribusjoner, samt i nettverksutstyr fra Cisco, Ubiquiti og andre. Dnspooq-sårbarheter inkluderer DNS-bufferforgiftning så vel som ekstern kjøring av kode. Sårbarhetene er fikset i dnsmasq 2.83.
I 2008 oppdaget og avslørte den anerkjente sikkerhetsforskeren Dan Kaminsky en grunnleggende feil i Internetts DNS-mekanisme. Kaminsky beviste at angripere kan forfalske domeneadresser og stjele data. Dette har siden blitt kjent som "Kaminsky-angrepet".
DNS har blitt ansett som en usikker protokoll i flere tiår, selv om den er ment å garantere et visst nivå av integritet. Det er av denne grunn at det fortsatt er sterkt avhengig av det. Samtidig ble det utviklet mekanismer for å forbedre sikkerheten til den originale DNS-protokollen. Disse mekanismene inkluderer HTTPS, HSTS, DNSSEC og andre initiativer. Men selv med alle disse mekanismene på plass, er DNS-kapring fortsatt et farlig angrep i 2021. Mye av Internett er fortsatt avhengig av DNS på samme måte som det gjorde i 2008, og er utsatt for de samme typene angrep.
Sårbarheter for DNspooq-bufferforgiftning:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Disse sårbarhetene ligner på SAD DNS-angrep nylig rapportert av forskere fra University of California og Tsinghua University. SAD DNS- og DNSpooq-sårbarheter kan også kombineres for å gjøre angrep enda enklere. Ytterligere angrep med uklare konsekvenser er også rapportert av felles innsats fra universiteter (Poison Over Troubled Forwarders, etc.).
Sårbarheter virker ved å redusere entropi. På grunn av bruken av en svak hash for å identifisere DNS-forespørsler og den upresise matchingen av forespørselen til svaret, kan entropien reduseres betraktelig og bare ~19 biter må gjettes, noe som gjør cacheforgiftning mulig. Måten dnsmasq behandler CNAME-poster på, gjør at den kan forfalske en kjede av CNAME-poster og effektivt forgifte opptil 9 DNS-poster om gangen.
Bufferoverløpssårbarheter: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. Alle de fire bemerkede sårbarhetene er tilstede i kode med DNSSEC-implementering og vises kun når sjekking via DNSSEC er aktivert i innstillingene.
Kilde: linux.org.ru