Tim peneliti ti University of California, Riverside parantos nyebarkeun varian anyar tina serangan DNS SAD (CVE-2021-20322) anu tiasa dianggo sanaos panyalindungan ditambah taun ka tukang pikeun meungpeuk kerentanan CVE-2020-25705. Metodeu anyar umumna sami sareng kerentanan taun ka tukang sareng ngan ukur béda dina ngagunakeun pakét ICMP anu béda pikeun pariksa palabuhan UDP aktip. Serangan anu diusulkeun ngamungkinkeun substitusi data fiktif kana cache server DNS, anu tiasa dianggo pikeun ngagentos alamat IP tina domain sawenang dina cache sareng alihan pamundut ka domain ka server panyerang.
Métode anu diusulkeun ngan ukur tiasa dianggo dina tumpukan jaringan. Linux kusabab aya hubunganana sareng keunikan operasi mékanisme pamrosésan pakét ICMP dina Linux, anu bertindak salaku sumber bocor data anu ngagampangkeun nangtukeun nomer port UDP anu dianggo server pikeun ngirim pamundut éksternal. Parobihan anu ngahalangan bocor inpormasi parantos ditampi kana kernel. Linux Dina ahir Agustus (perbaikan ieu kalebet dina kernel 5.15 sareng apdet kernel LTS Séptémber). Perbaikan ieu ngalibatkeun ngaganti ka algoritma hashing SipHash pikeun cache jaringan tinimbang Jenkins Hash. Status perbaikan kerentanan dina distribusi tiasa dipeunteun dina halaman ieu: Debian, RHEL, Fedora, SUSE, Ubuntu.
Numutkeun para panalungtik anu ngaidentipikasi masalah ieu, sakitar 38% tina open resolver dina jaringan rentan, kalebet layanan DNS anu populer sapertos OpenDNS sareng Quad9 (9.9.9.9). Sedengkeun pikeun parangkat lunak server, serangan éta tiasa dilakukeun nganggo Linux-paket server sapertos BIND, Unbound, sareng dnsmasq. Dina server DNS anu dijalankeun nganggo Windows sareng sistem BSD, masalahna henteu némbongan. Serangan anu suksés meryogikeun spoofing IP, anu hartosna ISP panyerang henteu kedah meungpeuk pakét kalayan alamat IP sumber palsu.
Salaku panginget, serangan DNS SAD ngalangkungan panyalindungan anu ditambahkeun kana server DNS pikeun meungpeuk metode karacunan cache DNS klasik anu diusulkeun dina 2008 ku Dan Kaminsky. Metoda Kaminsky ngamanipulasi ukuran leutik widang ID query DNS, nu ngan 16 bit. Pikeun milih identifier urus DNS anu bener dipikabutuh pikeun spoofing ngaran host, éta cukup pikeun ngirim kira 7000 requests sarta simulate ngeunaan 140 sarébu réspon fiktif. Serangan éta dugi ka ngirim sajumlah ageung pakét kalayan beungkeutan IP fiktif sareng kalayan identifier urus DNS anu béda-béda ka DNS resolver. Pikeun nyegah cache tina respon kahiji, unggal respon dummy ngandung ngaran domain rada dirobah (1.example.com, 2.example.com, 3.example.com, jsb).
Pikeun ngajaga ngalawan jenis ieu serangan, produsén server DNS ngalaksanakeun distribusi acak tina jumlah port jaringan sumber ti mana requests resolusi dikirim, nu ngimbangan ukuran insufficiently badag tina identifier nu. Saatos nerapkeun panyalindungan pikeun ngirim réspon fiktif, salian milih identifier 16-bit, janten kedah milih salah sahiji 64 sarébu palabuhan, anu ningkatkeun jumlah pilihan pikeun pilihan 2 ^ 32.
Metodeu DNS SAD ngamungkinkeun anjeun sacara radikal nyederhanakeun tekad nomer port jaringan sareng ngirangan serangan kana metode Kaminsky klasik. Panyerang tiasa ngadeteksi aksés ka palabuhan UDP anu henteu dianggo sareng aktip ku ngamangpaatkeun inpormasi bocor ngeunaan kagiatan palabuhan jaringan nalika ngolah pakét réspon ICMP. Metoda ieu ngamungkinkeun urang pikeun ngurangan jumlah pilihan pilarian ku 4 ordo gedena - 2 ^ 16 + 2 ^ 16 tinimbang 2 ^ 32 (131_072 tinimbang 4_294_967_296). Bocor informasi nu ngidinan Anjeun pikeun gancang nangtukeun port UDP aktip disababkeun ku cacad dina kode pikeun ngolah pakét ICMP kalawan requests fragméntasi (ICMP Fragméntasi Diperlukeun bandéra) atawa redirection (ICMP Redirect bandéra). Ngirim pakét sapertos ngarobah kaayaan cache dina tumpukan jaringan, nu ngamungkinkeun pikeun nangtukeun, dumasar kana respon server urang, nu port UDP aktip tur nu henteu.
Skenario serangan: Nalika resolver DNS nyobian ngaréngsékeun nami domain, éta ngirim pamundut UDP ka server DNS anu ngatur domain éta. Samentawis resolver ngantosan réspon, panyerang tiasa gancang nangtukeun nomer port sumber anu dianggo pikeun ngirim pamundut sareng ngirim réspon anu dipalsukeun, nyamar janten server DNS anu ngatur domain nganggo spoofing. alamat IPDNS resolver bakal nyimpen data anu dikirimkeun dina réspon anu dipalsukeun sareng, salami periode waktu, bakal mulangkeun alamat IP anu diganti ku panyerang ka sadaya pamundut DNS anu sanés pikeun nami domain.
sumber: opennet.ru
