Strokovnjaki iz raziskovalnih laboratorijev JSOF so poročali o sedmih novih ranljivostih v strežniku DNS/DHCP dnsmasq. Strežnik dnsmasq je zelo priljubljen in se privzeto uporablja v številnih distribucijah Linuxa, pa tudi v omrežni opremi Cisco, Ubiquiti in drugih. Ranljivosti Dnspooq vključujejo zastrupitev predpomnilnika DNS in oddaljeno izvajanje kode. Ranljivosti so bile odpravljene v dnsmasq 2.83.
Leta 2008 je znani raziskovalec varnosti Dan Kaminsky odkril in razkril temeljno napako v internetnem mehanizmu DNS. Kaminsky je dokazal, da lahko napadalci ponaredijo domenske naslove in ukradejo podatke. To je od takrat postalo znano kot "napad Kaminskega".
DNS že desetletja velja za nevaren protokol, čeprav naj bi zagotavljal določeno stopnjo integritete. Prav zaradi tega se nanj še vedno močno zanaša. Hkrati so bili razviti mehanizmi za izboljšanje varnosti izvirnega protokola DNS. Ti mehanizmi vključujejo HTTPS, HSTS, DNSSEC in druge pobude. Kljub temu, da so vzpostavljeni vsi ti mehanizmi, je ugrabitev DNS še vedno nevaren napad v letu 2021. Velik del interneta se še vedno zanaša na DNS na enak način kot leta 2008 in je dovzeten za iste vrste napadov.
Ranljivosti predpomnilnika DNSpooq zastrupitve:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Te ranljivosti so podobne napadom SAD DNS, o katerih so nedavno poročali raziskovalci s kalifornijske univerze in univerze Tsinghua. Ranljivosti SAD DNS in DNSpooq je mogoče združiti, da bodo napadi še lažji. O dodatnih napadih z nejasnimi posledicami so poročali tudi s skupnimi prizadevanji univerz (Poison Over Troubled Forwarders itd.).
Ranljivosti delujejo tako, da zmanjšajo entropijo. Zaradi uporabe šibkega zgoščevanja za identifikacijo zahtev DNS in nenatančnega ujemanja zahteve z odgovorom se lahko entropija močno zmanjša in uganiti je treba le ~19 bitov, zaradi česar je možna zastrupitev predpomnilnika. Način, kako dnsmasq obdeluje zapise CNAME, mu omogoča, da ponaredi verigo zapisov CNAME in učinkovito zastrupi do 9 zapisov DNS hkrati.
Ranljivosti prelivanja medpomnilnika: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. Vse 4 opažene ranljivosti so prisotne v kodi z implementacijo DNSSEC in se pojavijo le, ko je v nastavitvah omogočeno preverjanje prek DNSSEC.
Vir: linux.org.ru