Koox cilmi-baarayaal ah oo ka socda Jaamacadda California, Riverside ayaa daabacday nooc cusub oo ah weerarka SAD DNS (CVE-2021-20322) kaas oo shaqeeya in kasta oo ilaalinta lagu daray sannadkii hore si loo xakameeyo nuglaanta CVE-2020-25705. Habka cusub ayaa guud ahaan la mid ah dayacanka sanadkii hore wuxuuna ku kala duwan yahay kaliya isticmaalka nooc ka duwan xirmooyinka ICMP si loo hubiyo dekedaha UDP ee firfircoon. Weerarka la soo jeediyay wuxuu u oggolaanayaa in lagu beddelo xogta khayaaliga ah ee kaydinta server-ka DNS, kaas oo loo isticmaali karo in lagu beddelo cinwaanka IP-ga ee domain-ka aan sharciga ahayn ee khasnadda iyo u wareejinta codsiyada bogga server-ka weerarka.
Habka la soo jeediyay wuxuu ka shaqeeyaa kaliya xirmada shabakada Linux sababtoo ah xiriirka uu la leeyahay qaababka habaynta baakadaha ICMP ee Linux, kaas oo u shaqeeya sida isha xogta daadinta ee fududeynaya go'aaminta lambarka dekedda UDP ee uu adeegsaduhu u isticmaalo si uu u soo diro codsi dibadeed. Isbeddelada xannibaya daadinta macluumaadka waxaa la galiyay kernel Linux dhamaadkii Agoosto ( hagaajinta waxaa lagu daray kernel 5.15 iyo cusbooneysiinta Sebtembar ee laamaha LTS ee kernel-ka). Hagaajintu waxay hoos ugu dhacdaa u beddelashada adeegsiga SipHash hashing algorithm ee khasnadaha shabakadda beddelka Jenkins Hash. Heerka hagaajinta nuglaanta qaybinta waxaa lagu qiimeyn karaa boggagan: Debian, RHEL, Fedora, SUSE, Ubuntu.
Sida laga soo xigtay cilmi-baarayaasha aqoonsaday dhibaatada, qiyaastii 38% xaliyeyaasha furan ee shabakada ayaa nugul, oo ay ku jiraan adeegyada caanka ah ee DNS sida OpenDNS iyo Quad9 (9.9.9.9). Xagga software-ka server-ka, weerarka waxaa lagu qaadi karaa iyadoo la adeegsado xirmooyinka sida BIND, Unbound iyo dnsmasq ee server-ka Linux. Dhibaatadu kama muuqato server-yada DNS ee ku shaqeeya nidaamyada Windows iyo BSD. Si aad si guul leh u qaaddo weerarka, waxaa lagama maarmaan ah in la isticmaalo IP spoofing, i.e. waxaa loo baahan yahay in ISP-ga weerarka geystay uusan xannibin baakadaha leh ciwaanka IP-ga ee beenta ah.
Xusuusin ahaan, weerarka SAD DNS wuxuu dhaafayaa ilaalinta lagu daray server-yada DNS si loo xakameeyo habka sunta ah ee DNS cache ee caadiga ah ee uu soo jeediyay 2008 Dan Kaminsky. Habka Kaminsky wuxuu maamulaa cabbirka yar ee goobta aqoonsiga weydiinta DNS, kaas oo ah 16 bits oo keliya. Si aad u dooratid aqoonsiga saxda ah ee macaamil ganacsi ee lagama maarmaanka u ah magaca martida loo yahay, waa ku filan inaad soo dirto ku dhawaad ββββ7000 codsi oo aad la mid tahay 140 kun oo jawaabo khiyaali ah. Weerarku wuxuu hoos ugu dhacayaa soo dirida tiro badan oo xirmo ah oo leh xirmo IP khayaali ah oo leh aqoonsiyada macaamil ganacsi ee DNS kala duwan xaliyaha DNS. Si looga hortago kaydinta jawaabta ugu horreysa, jawaab-celin kasta oo aan caqli-gal ahayn waxay ka kooban tahay magac domain waxyar la beddelay (1.example.com, 2.example.com, 3.example.com, iwm.).
Si looga ilaaliyo weerarka noocaan ah, soosaarayaasha server-ka DNS waxay hirgeliyeen qaybinta random ee tirada dekedaha isha ee laga soo diro codsiyada xallinta, kuwaas oo magdhow u ah cabbirka aan ku filnayn ee aqoonsiga. Ka dib markii la hirgeliyay ilaalinta soo dirida jawaabta khiyaaliga ah, marka lagu daro xulashada aqoonsiga 16-bit, waxay noqotay lagama maarmaan in la doorto mid ka mid ah 64 kun oo dekedood, taas oo kordhisay tirada xulashada xulashada 2 ^ 32.
Habka SAD DNS wuxuu kuu ogolaanayaa inaad si qoto dheer u fududeyso go'aaminta lambarka dekedda shabakada oo aad yareyso weerarka habka caadiga ah ee Kaminsky. Weeraryahanku waxa uu ogaan karaa gelitaanka dekedaha UDP ee aan la isticmaalin iyo kuwa firfircoon isaga oo ka faa'iidaysanaya macluumaadka la daatay ee ku saabsan dhaqdhaqaaqa dekedaha shabakadda marka la farsameeyo xidhmooyinka jawaabta ICMP. Habka ayaa noo ogolaanaya inaan hoos u dhigi tirada fursadaha raadinta by 4 amarrada of magnitude - 2^16+2^16 halkii 2^32 (131_072 halkii 4_294_967_296). Diidashada macluumaadka kuu ogolaanaysa inaad si dhakhso leh u go'aamiso dekedaha UDP ee firfircoon waxaa sababa cilad ku jirta koodka habaynta baakadaha ICMP ee leh codsiyada jajabinta (calanka ICMP Fragmentation Needed calan) ama dib u jiheynta (calanka dib u toosinta ICMP). Dirista xirmooyinka noocan oo kale ah waxay wax ka beddeleysaa xaaladda khasnadda ee xirmada shabakadda, taas oo suurtogal ka dhigaysa in la go'aamiyo, iyada oo ku saleysan jawaabta server-ka, oo ah dekedda UDP ee firfircoon iyo taas oo aan ahayn.
Muuqaalka Weerarka: Marka xaliye DNS uu isku dayo inuu xalliyo magac domain, waxay u soo dirtaa weydiinta UDP server-ka DNS ee u adeegaya bogga. Iyadoo xalliyahu uu sugayo jawaabta, weeraryahanku si dhakhso ah ayuu u go'aamin karaa lambarka dekedda ee loo isticmaalay in lagu soo diro codsiga oo uu u diro jawaab been abuur ah, isaga oo iska dhigaya server-ka DNS ee u adeegaya domainka isagoo isticmaalaya ciwaanka IP-ga. Xallinta DNS ayaa kaydin doonta xogta loo soo diray jawaabta been abuurka ah iyo in muddo ah ayaa soo celin doona ciwaanka IP-ga ee uu ku beddelay weerarka dhammaan codsiyada kale ee DNS ee magaca domainka.
Source: opennet.ru