Specjaliści z laboratoriów badawczych JSOF zgłosili siedem nowych luk w serwerze DNS/DHCP dnsmasq. Serwer dnsmasq jest bardzo popularny i jest domyślnie używany w wielu dystrybucjach Linuksa, a także w sprzęcie sieciowym Cisco, Ubiquiti i innych. Luki w zabezpieczeniach Dnspooq obejmują zatruwanie pamięci podręcznej DNS oraz zdalne wykonanie kodu. Luki zostały naprawione w dnsmasq 2.83.
W 2008 roku znany badacz bezpieczeństwa Dan Kaminsky odkrył i ujawnił fundamentalną wadę w mechanizmie DNS Internetu. Kaminsky udowodnił, że napastnicy mogą fałszować adresy domen i kraść dane. Od tego czasu stało się to znane jako „atak Kamińskiego”.
DNS od dziesięcioleci uważany jest za protokół niebezpieczny, choć ma gwarantować pewien poziom integralności. Z tego powodu nadal cieszy się on dużym zaufaniem. Jednocześnie opracowano mechanizmy poprawiające bezpieczeństwo oryginalnego protokołu DNS. Mechanizmy te obejmują HTTPS, HSTS, DNSSEC i inne inicjatywy. Jednak nawet przy zastosowaniu wszystkich tych mechanizmów przejmowanie DNS w 2021 r. nadal będzie niebezpiecznym atakiem. Duża część Internetu w dalszym ciągu opiera się na systemie DNS w taki sam sposób jak w 2008 roku i jest podatna na te same typy ataków.
Luki w zabezpieczeniach związane z zatruwaniem pamięci podręcznej DNSpooq:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Luki te przypominają ataki SAD DNS zgłoszone niedawno przez badaczy z Uniwersytetu Kalifornijskiego i Uniwersytetu Tsinghua. Luki w zabezpieczeniach SAD DNS i DNSpooq można również łączyć, aby jeszcze bardziej ułatwić ataki. Dodatkowe ataki o niejasnych konsekwencjach zostały również zgłoszone w ramach wspólnych wysiłków uniwersytetów (Poison Over Troubled Forwarders itp.).
Luki działają poprzez zmniejszenie entropii. Ze względu na użycie słabego skrótu do identyfikacji żądań DNS i nieprecyzyjne dopasowanie żądania do odpowiedzi, entropię można znacznie zmniejszyć i trzeba odgadnąć tylko ~ 19 bitów, co umożliwia zatruwanie pamięci podręcznej. Sposób, w jaki dnsmasq przetwarza rekordy CNAME, pozwala mu sfałszować łańcuch rekordów CNAME i skutecznie zatruć do 9 rekordów DNS jednocześnie.
Luki w zabezpieczeniach związane z przepełnieniem bufora: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. Wszystkie 4 odnotowane luki występują w kodzie z implementacją DNSSEC i pojawiają się tylko wtedy, gdy w ustawieniach włączone jest sprawdzanie poprzez DNSSEC.
Źródło: linux.org.ru