Тим истраживача са Универзитета у Калифорнији, Риверсиде, објавио је нову варијанту САД ДНС напада (ЦВЕ-2021-20322) која функционише упркос заштити која је додата прошле године да блокира рањивост ЦВЕ-2020-25705. Нова метода је генерално слична прошлогодишњој рањивости и разликује се само у коришћењу другачијег типа ИЦМП пакета за проверу активних УДП портова. Предложени напад омогућава замену фиктивних података у кеш ДНС сервера, који се може користити за замену ИП адресе произвољног домена у кешу и преусмеравање захтева на домен на сервер нападача.
Предложени метод функционише само у Линук мрежном стеку због своје повезаности са специфичностима ИЦМП механизма за обраду пакета у Линуку, који делује као извор цурења података који поједностављује одређивање броја УДП порта који сервер користи за слање спољни захтев. Промене које блокирају цурење информација усвојене су у Линук кернел крајем августа (поправка је укључена у кернел 5.15 и септембарска ажурирања ЛТС грана кернела). Поправка се своди на прелазак на коришћење СипХасх алгоритма хеширања у мрежним кешовима уместо Јенкинс Хасха. Статус поправљања рањивости у дистрибуцијама може се проценити на овим страницама: Дебиан, РХЕЛ, Федора, СУСЕ, Убунту.
Према истраживачима који су идентификовали проблем, око 38% отворених решавача на мрежи је рањиво, укључујући популарне ДНС услуге као што су ОпенДНС и Куад9 (9.9.9.9). Што се тиче серверског софтвера, напад се може извршити коришћењем пакета као што су БИНД, Унбоунд и днсмаск на Линук серверу. Проблем се не појављује на ДНС серверима који раде на Виндовс и БСД системима. Да бисте успешно извршили напад, потребно је користити ИП споофинг, тј. потребно је да нападачев ИСП не блокира пакете са лажном изворном ИП адресом.
Подсећања ради, САД ДНС напад заобилази заштиту која је додата ДНС серверима како би блокирала класичну методу тровања ДНС кеша коју је 2008. предложио Дан Камински. Каминскијев метод манипулише малом величином поља ИД ДНС упита, које износи само 16 бита. Да бисте изабрали тачан идентификатор ДНС трансакције неопходан за лажирање имена хоста, довољно је послати приближно 7000 захтева и симулирати око 140 хиљада фиктивних одговора. Напад се своди на слање великог броја пакета са фиктивним ИП везивањем и са различитим идентификаторима ДНС трансакција ДНС резолверу. Да би се спречило кеширање првог одговора, сваки лажни одговор садржи мало измењено име домена (1.екампле.цом, 2.екампле.цом, 3.екампле.цом, итд.).
Да би се заштитили од ове врсте напада, произвођачи ДНС сервера имплементирали су случајну дистрибуцију броја изворних мрежних портова са којих се шаљу захтеви за разрешење, што је компензовало недовољно велику величину идентификатора. Након имплементације заштите за слање фиктивног одговора, поред избора 16-битног идентификатора, постало је неопходно изабрати један од 64 хиљаде портова, што је повећало број опција за избор на 2^32.
САД ДНС метода вам омогућава да радикално поједноставите одређивање броја мрежног порта и смањите напад на класичну методу Каминског. Нападач може открити приступ неискоришћеним и активним УДП портовима тако што ће искористити процуреле информације о активности мрежних портова приликом обраде ИЦМП пакета одговора. Метод нам омогућава да смањимо број опција претраге за 4 реда величине - 2^16+2^16 уместо 2^32 (131_072 уместо 4_294_967_296). Цурење информација које вам омогућавају да брзо одредите активне УДП портове је узроковано грешком у коду за обраду ИЦМП пакета са захтевима за фрагментацију (заставица ИЦМП Фрагментатион Неедед) или преусмеравањем (ИЦМП Редирецт флаг). Слање оваквих пакета мења стање кеша у мрежном стеку, што омогућава да се на основу одговора сервера утврди који је УДП порт активан, а који не.
Сценарио напада: Када ДНС разрешивач покуша да разреши име домена, он шаље УДП упит ДНС серверу који опслужује домен. Док разрешивач чека на одговор, нападач може брзо да одреди број изворног порта који је коришћен за слање захтева и пошаље лажни одговор на њега, лажно представљајући ДНС сервер који опслужује домен користећи лажирање ИП адресе. ДНС резолвер ће кеширати податке послате у лажном одговору и неко време ће враћати ИП адресу коју је нападач заменио за све друге ДНС захтеве за име домена.
Извор: опеннет.ру