Especialistas dos laboratórios de pesquisa JSOF relataram sete novas vulnerabilidades no servidor DNS/DHCP dnsmasq. O servidor dnsmasq é muito popular e é usado por padrão em muitas distribuições Linux, bem como em equipamentos de rede Cisco, Ubiquiti e outros. As vulnerabilidades do Dnspooq incluem envenenamento de cache DNS, bem como execução remota de código. As vulnerabilidades foram corrigidas no dnsmasq 2.83.
Em 2008, o renomado pesquisador de segurança Dan Kaminsky descobriu e expôs uma falha fundamental no mecanismo DNS da Internet. Kaminsky provou que os invasores podem falsificar endereços de domínio e roubar dados. Desde então, isso ficou conhecido como "Ataque Kaminsky".
O DNS é considerado um protocolo inseguro há décadas, embora deva garantir um certo nível de integridade. É por esta razão que ainda é muito utilizado. Ao mesmo tempo, foram desenvolvidos mecanismos para melhorar a segurança do protocolo DNS original. Esses mecanismos incluem HTTPS, HSTS, DNSSEC e outras iniciativas. No entanto, mesmo com todos esses mecanismos implementados, o sequestro de DNS ainda é um ataque perigoso em 2021. Grande parte da Internet ainda depende do DNS da mesma forma que em 2008 e é suscetível aos mesmos tipos de ataques.
Vulnerabilidades de envenenamento de cache DNSpooq:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Essas vulnerabilidades são semelhantes aos ataques SAD DNS relatados recentemente por pesquisadores da Universidade da Califórnia e da Universidade de Tsinghua. As vulnerabilidades SAD DNS e DNSpooq também podem ser combinadas para tornar os ataques ainda mais fáceis. Ataques adicionais com consequências pouco claras também foram relatados por esforços conjuntos de universidades (Poison Over Troubled Forwarders, etc.).
As vulnerabilidades funcionam reduzindo a entropia. Devido ao uso de um hash fraco para identificar solicitações de DNS e à correspondência imprecisa da solicitação com a resposta, a entropia pode ser bastante reduzida e apenas ~19 bits precisam ser adivinhados, tornando possível o envenenamento do cache. A forma como o dnsmasq processa os registros CNAME permite falsificar uma cadeia de registros CNAME e envenenar efetivamente até 9 registros DNS por vez.
Vulnerabilidades de estouro de buffer: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. Todas as quatro vulnerabilidades observadas estão presentes no código com implementação de DNSSEC e aparecem apenas quando a verificação via DNSSEC está habilitada nas configurações.
Fonte: linux.org.ru