Timu ya watafiti kutoka Chuo Kikuu cha California, Riverside imechapisha toleo jipya la shambulio la SAD DNS (CVE-2021-20322) ambalo hufanya kazi licha ya ulinzi ulioongezwa mwaka jana ili kuzuia uwezekano wa CVE-2020-25705. Mbinu mpya kwa ujumla inafanana na athari ya mwaka jana na inatofautiana tu katika matumizi ya aina tofauti ya pakiti za ICMP kuangalia milango ya UDP inayotumika. Mashambulizi yanayopendekezwa huruhusu uingizwaji wa data ya uwongo kwenye akiba ya seva ya DNS, ambayo inaweza kutumika kuchukua nafasi ya anwani ya IP ya kikoa kiholela kwenye akiba na kuelekeza maombi kwenye kikoa hadi kwa seva ya mshambulizi.
Njia iliyopendekezwa inafanya kazi tu kwenye rundo la mtandao wa Linux kwa sababu ya unganisho lake kwa upekee wa utaratibu wa usindikaji wa pakiti za ICMP katika Linux, ambayo hufanya kama chanzo cha uvujaji wa data ambayo hurahisisha uamuzi wa nambari ya bandari ya UDP inayotumiwa na seva kutuma ombi la nje. Mabadiliko ambayo yanazuia uvujaji wa taarifa yalipitishwa kwenye kinu cha Linux mwishoni mwa Agosti (marekebisho yalijumuishwa katika kernel 5.15 na sasisho za Septemba kwa matawi ya LTS ya kernel). Marekebisho yanatokana na kubadili hadi kutumia algoriti ya SipHash katika kache za mtandao badala ya Jenkins Hash. Hali ya kurekebisha athari katika usambazaji inaweza kutathminiwa kwenye kurasa hizi: Debian, RHEL, Fedora, SUSE, Ubuntu.
Kulingana na watafiti waliogundua tatizo, takriban 38% ya visuluhishi vilivyo wazi kwenye mtandao wako katika hatari, ikiwa ni pamoja na huduma maarufu za DNS kama vile OpenDNS na Quad9 (9.9.9.9). Kuhusu programu ya seva, shambulio linaweza kufanywa kwa kutumia vifurushi kama vile BIND, Unbound na dnsmasq kwenye seva ya Linux. Tatizo halionekani kwenye seva za DNS zinazoendesha kwenye mifumo ya Windows na BSD. Ili kutekeleza shambulio kwa mafanikio, ni muhimu kutumia spoofing ya IP, i.e. inahitajika kwamba ISP ya mshambuliaji haizuii pakiti zilizo na anwani ya IP ya chanzo bandia.
Kama ukumbusho, shambulio la SAD DNS hupita ulinzi ulioongezwa kwa seva za DNS ili kuzuia mbinu ya kawaida ya kuweka akiba ya sumu ya DNS iliyopendekezwa mnamo 2008 na Dan Kaminsky. Mbinu ya Kaminsky huchezea saizi ndogo ya sehemu ya kitambulisho cha swali la DNS, ambayo ni biti 16 pekee. Ili kuchagua kitambulisho sahihi cha muamala wa DNS kinachohitajika kwa upotoshaji wa jina la mwenyeji, inatosha kutuma takriban maombi 7000 na kuiga takriban majibu elfu 140 ya uwongo. Shambulio hilo linatokana na kutuma idadi kubwa ya pakiti zilizo na IP ya uwongo ya kumfunga na yenye vitambulishi tofauti vya miamala ya DNS kwa kisuluhishi cha DNS. Ili kuzuia akiba ya jibu la kwanza, kila jibu la dummy lina jina la kikoa lililobadilishwa kidogo (1.example.com, 2.example.com, 3.example.com, n.k.).
Ili kulinda dhidi ya aina hii ya shambulio, watengenezaji wa seva za DNS walitekeleza usambazaji nasibu wa nambari za bandari za mtandao chanzo ambapo maombi ya utatuzi hutumwa, ambayo hufidia ukubwa usiotosha wa kitambulisho. Baada ya kutekeleza ulinzi wa kutuma jibu la uwongo, pamoja na kuchagua kitambulisho cha 16-bit, ikawa muhimu kuchagua moja ya bandari elfu 64, ambayo iliongeza idadi ya chaguzi za uteuzi hadi 2 ^ 32.
Njia ya SAD DNS inakuwezesha kurahisisha kwa kiasi kikubwa uamuzi wa nambari ya bandari ya mtandao na kupunguza mashambulizi kwa njia ya Kaminsky ya classic. Mshambulizi anaweza kugundua ufikiaji wa bandari za UDP ambazo hazijatumika na zinazotumika kwa kutumia taarifa iliyovuja kuhusu shughuli za milango ya mtandao wakati wa kuchakata pakiti za majibu za ICMP. Njia hiyo inatuwezesha kupunguza idadi ya chaguzi za utafutaji kwa amri 4 za ukubwa - 2^16+2^16 badala ya 2^32 (131_072 badala ya 4_294_967_296). Uvujaji wa taarifa unaokuruhusu kubainisha kwa haraka bandari za UDP zinazotumika husababishwa na hitilafu katika msimbo wa kuchakata pakiti za ICMP zilizo na maombi ya kugawanyika (alama Inahitajika ya Kugawanyika kwa ICMP) au kuelekeza kwingine (alama ya Kuelekeza Upya ICMP). Kutuma pakiti hizo hubadilisha hali ya cache katika stack ya mtandao, ambayo inafanya uwezekano wa kuamua, kulingana na majibu ya seva, ambayo bandari ya UDP inafanya kazi na ambayo sio.
Hali ya Mashambulizi: Kitatuzi cha DNS kinapojaribu kusuluhisha jina la kikoa, hutuma swali la UDP kwa seva ya DNS inayohudumia kikoa. Wakati kisuluhishi kinasubiri jibu, mshambulizi anaweza kubainisha kwa haraka nambari ya kituo cha chanzo ambacho kilitumiwa kutuma ombi na kutuma jibu la uwongo kwake, akiiga seva ya DNS inayohudumia kikoa kwa kutumia utapeli wa anwani ya IP. Kitatuzi cha DNS kitahifadhi data iliyotumwa kwa jibu ghushi na kwa muda kitarudisha anwani ya IP iliyobadilishwa na mvamizi kwa maombi mengine yote ya DNS ya jina la kikoa.
Chanzo: opennet.ru