Тим истраживача са Универзитета у Калифорнији, Риверсиде, објавио је нову варијанту САД ДНС напада (ЦВЕ-2021-20322) која функционише упркос заштити која је додата прошле године да блокира рањивост ЦВЕ-2020-25705. Нова метода је генерално слична прошлогодишњој рањивости и разликује се само у коришћењу другачијег типа ИЦМП пакета за проверу активних УДП портова. Предложени напад омогућава замену фиктивних података у кеш ДНС сервера, који се може користити за замену ИП адресе произвољног домена у кешу и преусмеравање захтева на домен на сервер нападача.
Предложена метода је функционална само у мрежном стеку. Linux због везе са посебностима рада механизма за обраду ICMP пакета у Linux, што делује као извор цурења података што поједностављује одређивање броја коришћеног UDP порта сервер да пошаље спољни захтев. Промене које блокирају цурење информација су прихваћене у језгро. Linux Крајем августа (исправка је укључена у језгро 5.15 и септембарска LTS ажурирања језгра). Исправка укључује прелазак на алгоритам хеширања SipHash за мрежне кеш меморије уместо Jenkins Hash-а. Статус исправке рањивости у дистрибуцијама може се проценити на овим страницама: Debian, RHEL, Федора, SUSE, Ubuntu.
Према истраживачима који су идентификовали проблем, приближно 38% отворених DNS сервера на мрежи је рањиво, укључујући популарне DNS сервисе као што су OpenDNS и Quad9 (9.9.9.9). Што се тиче серверског софтвера, напад се може извршити коришћењем Linux-серверски пакети као што су BIND, Unbound и dnsmasq. На DNS серверима који раде користећи Windows и BSD системима, проблем се не манифестује. Успешан напад захтева лажно подметање IP адресе, што значи да нападачев интернет провајдер не сме блокирати пакете са лажном изворном IP адресом.
Подсећања ради, САД ДНС напад заобилази заштиту која је додата ДНС серверима како би блокирала класичну методу тровања ДНС кеша коју је 2008. предложио Дан Камински. Каминскијев метод манипулише малом величином поља ИД ДНС упита, које износи само 16 бита. Да бисте изабрали тачан идентификатор ДНС трансакције неопходан за лажирање имена хоста, довољно је послати приближно 7000 захтева и симулирати око 140 хиљада фиктивних одговора. Напад се своди на слање великог броја пакета са фиктивним ИП везивањем и са различитим идентификаторима ДНС трансакција ДНС резолверу. Да би се спречило кеширање првог одговора, сваки лажни одговор садржи мало измењено име домена (1.екампле.цом, 2.екампле.цом, 3.екампле.цом, итд.).
Да би се заштитили од ове врсте напада, произвођачи ДНС сервера имплементирали су случајну дистрибуцију броја изворних мрежних портова са којих се шаљу захтеви за разрешење, што је компензовало недовољно велику величину идентификатора. Након имплементације заштите за слање фиктивног одговора, поред избора 16-битног идентификатора, постало је неопходно изабрати један од 64 хиљаде портова, што је повећало број опција за избор на 2^32.
САД ДНС метода вам омогућава да радикално поједноставите одређивање броја мрежног порта и смањите напад на класичну методу Каминског. Нападач може открити приступ неискоришћеним и активним УДП портовима тако што ће искористити процуреле информације о активности мрежних портова приликом обраде ИЦМП пакета одговора. Метод нам омогућава да смањимо број опција претраге за 4 реда величине - 2^16+2^16 уместо 2^32 (131_072 уместо 4_294_967_296). Цурење информација које вам омогућавају да брзо одредите активне УДП портове је узроковано грешком у коду за обраду ИЦМП пакета са захтевима за фрагментацију (заставица ИЦМП Фрагментатион Неедед) или преусмеравањем (ИЦМП Редирецт флаг). Слање оваквих пакета мења стање кеша у мрежном стеку, што омогућава да се на основу одговора сервера утврди који је УДП порт активан, а који не.
Сценарио напада: Када DNS сервер покуша да разреши име домена, он шаље UDP упит DNS серверу који обрађује домен. Док DNS сервер чека одговор, нападач може брзо да утврди број изворног порта који се користи за слање упита и да пошаље фалсификовани одговор, представљајући се као DNS сервер који обрађује домен користећи лажно представљање. ИП адресеДНС резолвер ће кеширати податке послате у фалсификованом одговору и, током одређеног временског периода, враћаће ИП адресу коју је нападач заменио свим осталим ДНС упитима за име домена.
Извор: опеннет.ру
