Wataalamu kutoka maabara za utafiti za JSOF waliripoti udhaifu saba mpya katika seva ya DNS/DHCP dnsmasq. Seva ya dnsmasq inajulikana sana na hutumiwa kwa default katika usambazaji wengi wa Linux, pamoja na vifaa vya mtandao kutoka kwa Cisco, Ubiquiti na wengine. Athari za Dnspooq zinajumuisha sumu ya akiba ya DNS pamoja na utekelezaji wa msimbo wa mbali. Athari za kiusalama zimerekebishwa katika dnsmasq 2.83.
Mnamo 2008, mtafiti mashuhuri wa usalama Dan Kaminsky aligundua na kufichua dosari ya kimsingi katika utaratibu wa mtandao wa DNS. Kaminsky alithibitisha kuwa washambuliaji wanaweza kuharibu anwani za kikoa na kuiba data. Hii tangu wakati huo imekuwa ikijulikana kama "Mashambulizi ya Kaminsky".
DNS imechukuliwa kuwa itifaki isiyo salama kwa miongo kadhaa, ingawa inastahili kuhakikisha kiwango fulani cha uadilifu. Ni kwa sababu hii kwamba bado inategemewa sana. Wakati huo huo, taratibu zilitengenezwa ili kuboresha usalama wa itifaki ya awali ya DNS. Mbinu hizi ni pamoja na HTTPS, HSTS, DNSSEC na mipango mingine. Walakini, hata kwa njia hizi zote zimewekwa, utekaji nyara wa DNS bado ni shambulio hatari mnamo 2021. Sehemu kubwa ya Mtandao bado inategemea DNS kwa njia ile ile ilifanya mnamo 2008, na huathiriwa na aina sawa za mashambulizi.
Athari za sumu ya akiba ya DNSpooq:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Athari hizi ni sawa na mashambulizi ya SAD DNS yaliyoripotiwa hivi majuzi na watafiti kutoka Chuo Kikuu cha California na Chuo Kikuu cha Tsinghua. DNS ya SAD na udhaifu wa DNSpooq pia unaweza kuunganishwa ili kurahisisha mashambulizi. Mashambulizi ya ziada yenye matokeo yasiyoeleweka pia yameripotiwa na juhudi za pamoja za vyuo vikuu (Poison Over Troubled Forwarders, nk.).
Athari hufanya kazi kwa kupunguza entropy. Kutokana na utumizi wa heshi dhaifu kutambua maombi ya DNS na uwiano usio sahihi wa ombi la jibu, entropy inaweza kupunguzwa sana na ni biti ~19 pekee zinazohitaji kubashiriwa, na kufanya uwezekano wa kuwekewa sumu kwenye kache. Jinsi dnsmasq inavyochakata rekodi za CNAME huiruhusu kuharibu msururu wa rekodi za CNAME na kwa ufanisi kuwatia sumu hadi rekodi 9 za DNS kwa wakati mmoja.
Athari za bafa ya kufurika: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. Athari zote 4 zilizobainika zinapatikana katika msimbo na utekelezaji wa DNSSEC na huonekana tu wakati ukaguzi kupitia DNSSEC umewashwa katika mipangilio.
Chanzo: linux.org.ru