Gulu la ofufuza ochokera ku yunivesite ya California, Riverside lafalitsa mtundu watsopano wa SAD DNS attack (CVE-2021-20322) yomwe imagwira ntchito ngakhale chitetezo chinawonjezeredwa chaka chatha kuti aletse chiopsezo cha CVE-2020-25705. Njira yatsopanoyi nthawi zambiri imakhala yofanana ndi chiwopsezo cha chaka chatha ndipo imasiyana kokha pogwiritsa ntchito mapaketi amtundu wa ICMP kuti muwone madoko a UDP omwe akugwira ntchito. Kuwukiraku kumalola kulowetsamo deta yabodza mu cache ya seva ya DNS, yomwe ingagwiritsidwe ntchito m'malo mwa adilesi ya IP ya malo osavomerezeka mu cache ndikutumizanso zopempha ku domain ku seva ya wowukirayo.
Njira yomwe ikugwiritsidwira ntchito imagwira ntchito pamtundu wa Linux network chifukwa cholumikizana ndi mawonekedwe ake a ICMP packet processing mechanism ku Linux, yomwe imakhala ngati gwero la kutayikira kwa data komwe kumathandizira kutsimikiza kwa nambala ya doko ya UDP yomwe seva imagwiritsa ntchito kutumiza. pempho lakunja. Zosintha zomwe zimalepheretsa kutayikira kwa chidziwitso zidatengedwa mu kernel ya Linux kumapeto kwa Ogasiti (zokonzekera zidaphatikizidwa mu kernel 5.15 ndi zosintha za Seputembala ku nthambi za LTS za kernel). Kukonzekera kumabwera mpaka kusinthira kugwiritsa ntchito SipHash hashing algorithm muma network cache m'malo mwa Jenkins Hash. Mkhalidwe wokonza chiwopsezo pakugawira ukhoza kuwunikidwa pamasamba awa: Debian, RHEL, Fedora, SUSE, Ubuntu.
Malinga ndi ofufuza omwe adazindikira vutoli, pafupifupi 38% ya otsegula pa intaneti ali pachiwopsezo, kuphatikiza ma DNS otchuka monga OpenDNS ndi Quad9 (9.9.9.9). Ponena za pulogalamu ya seva, kuwukira kumatha kuchitidwa pogwiritsa ntchito phukusi monga BIND, Unbound ndi dnsmasq pa seva ya Linux. Vuto silikuwoneka pa ma seva a DNS omwe akuyenda pa Windows ndi BSD machitidwe. Kuti muchite bwino kuukira, ndikofunikira kugwiritsa ntchito IP spoofing, i.e. zimafunikira kuti ISP ya wowukirayo isatseke mapaketi okhala ndi adilesi yabodza ya IP.
Monga chikumbutso, kuwukira kwa SAD DNS kumadutsa zotetezedwa zomwe zidawonjezeredwa ku maseva a DNS kuti aletse njira yapoizoni ya DNS cache yomwe idaperekedwa mu 2008 ndi Dan Kaminsky. Njira ya Kaminsky imagwiritsa ntchito kakulidwe kakang'ono ka ID ya mafunso a DNS, omwe ndi ma bits 16 okha. Kusankha chizindikiritso choyenera cha DNS chofunikira pakuwononga dzina la wolandila, ndikokwanira kutumiza zopempha pafupifupi 7000 ndikutengera mayankho abodza pafupifupi 140. Kuwukiraku kumabwera mpaka kutumiza mapaketi ambiri okhala ndi IP yongopeka komanso zozindikiritsa zosintha za DNS ku DNS solver. Kuti mupewe kusungitsa yankho loyamba, yankho lililonse la dummy lili ndi dzina losinthidwa pang'ono (1.example.com, 2.example.com, 3.example.com, etc.).
Kuti muteteze ku kuwukira kwamtunduwu, opanga ma seva a DNS adakhazikitsa kugawa kwachisawawa kwa madoko a netiweki pomwe zopempha zimatumizidwa, zomwe zimalipira kukula kosakwanira kwa chizindikiritso. Pambuyo pokhazikitsa chitetezo potumiza yankho lopeka, kuwonjezera pa kusankha chizindikiritso cha 16-bit, zidakhala zofunikira kusankha imodzi mwa madoko 64 zikwizikwi, zomwe zidawonjezera kuchuluka kwa zosankha zosankhidwa ku 2 ^ 32.
Njira ya SAD DNS imakulolani kuti muchepetse kutsimikiza kwa nambala ya doko la netiweki ndikuchepetsa kuukira kwa njira yachikale ya Kaminsky. Wowukira amatha kuzindikira mwayi wofikira madoko a UDP osagwiritsidwa ntchito komanso omwe akugwira ntchito pogwiritsa ntchito mwayi wazidziwitso zomwe zatulutsidwa pamanetiweki pokonza mapaketi a ICMP. Njirayi imatithandiza kuchepetsa chiwerengero cha zosankha zakusaka ndi ma 4 olamulira a ukulu - 2^16+2^16 m'malo mwa 2^32 (131_072 m'malo mwa 4_294_967_296). Kutulutsa kwa chidziwitso komwe kumakupatsani mwayi wodziwa mwachangu madoko a UDP omwe akugwira ntchito amayamba chifukwa cha zolakwika pamakina opangira mapaketi a ICMP okhala ndi zopempha zogawikana (Mbendera ya ICMP Fragmentation Ikufunika) kapena kuwongoleranso (Mbendera ya ICMP Redirect). Kutumiza mapaketi oterowo kumasintha mkhalidwe wa cache mu stack network, zomwe zimapangitsa kudziwa, kutengera yankho la seva, lomwe doko la UDP likugwira ntchito komanso lomwe silili.
Zowonongeka: Pamene DNS solver ayesa kuthetsa dzina lachidziwitso, imatumiza funso la UDP ku seva ya DNS yomwe ikugwira ntchito. Pomwe wotsutsa akudikirira kuyankha, wowukirayo amatha kudziwa mwachangu nambala ya doko yomwe idagwiritsidwa ntchito kutumiza pempholo ndikutumiza yankho labodza kwa izo, kutengera seva ya DNS yomwe ikugwiritsa ntchito derali pogwiritsa ntchito IP adilesi spoofing. Wotsutsa wa DNS adzasunga zomwe zatumizidwa muzoyankha zabodza ndipo kwakanthawi adzabweza adilesi ya IP yosinthidwa ndi wowukira pazopempha zina zonse za DNS za dzina la domain.
Source: opennet.ru