یونیورسٹی آف کیلیفورنیا، ریور سائیڈ کے محققین کی ایک ٹیم نے SAD DNS حملے (CVE-2021-20322) کی ایک نئی شکل شائع کی ہے جو CVE-2020-25705 کے خطرے کو روکنے کے لیے پچھلے سال شامل کیے گئے تحفظات کے باوجود کام کرتی ہے۔ نیا طریقہ عام طور پر پچھلے سال کی کمزوری سے ملتا جلتا ہے اور فعال UDP پورٹس کو چیک کرنے کے لیے صرف مختلف قسم کے ICMP پیکٹوں کے استعمال میں مختلف ہے۔ مجوزہ حملہ ڈی این ایس سرور کیشے میں فرضی ڈیٹا کو تبدیل کرنے کی اجازت دیتا ہے، جس کا استعمال کیش میں کسی صوابدیدی ڈومین کے IP ایڈریس کو تبدیل کرنے اور ڈومین کی درخواستوں کو حملہ آور کے سرور پر بھیجنے کے لیے استعمال کیا جا سکتا ہے۔
مجوزہ طریقہ لینکس میں آئی سی ایم پی پیکٹ پروسیسنگ میکانزم کی خصوصیات سے اس کے تعلق کی وجہ سے صرف لینکس نیٹ ورک اسٹیک میں کام کرتا ہے، جو ڈیٹا کے اخراج کے ایک ذریعہ کے طور پر کام کرتا ہے جو سرور کے ذریعہ یو ڈی پی پورٹ نمبر کے تعین کو آسان بناتا ہے۔ بیرونی درخواست اگست کے آخر میں لینکس کرنل میں معلومات کے رساو کو روکنے والی تبدیلیوں کو اپنایا گیا تھا (فکس کو کرنل 5.15 میں شامل کیا گیا تھا اور کرنل کی LTS برانچوں میں ستمبر کی اپ ڈیٹس)۔ جینکنز ہیش کے بجائے نیٹ ورک کیشز میں SipHash ہیشنگ الگورتھم کے استعمال پر سوئچ کرنے کے لیے فکس ابلتا ہے۔ تقسیم میں کمزوری کو ٹھیک کرنے کی حیثیت کا اندازہ ان صفحات پر لگایا جا سکتا ہے: Debian، RHEL، Fedora، SUSE، Ubuntu۔
اس مسئلے کی نشاندہی کرنے والے محققین کے مطابق، نیٹ ورک پر تقریباً 38 فیصد کھلے حل کرنے والے کمزور ہیں، جن میں مقبول DNS سروسز جیسے OpenDNS اور Quad9 (9.9.9.9) شامل ہیں۔ جہاں تک سرور سافٹ ویئر کا تعلق ہے، لینکس سرور پر BIND، Unbound اور dnsmasq جیسے پیکیجز کا استعمال کرکے حملہ کیا جا سکتا ہے۔ ونڈوز اور بی ایس ڈی سسٹم پر چلنے والے DNS سرورز پر مسئلہ ظاہر نہیں ہوتا ہے۔ کامیابی سے حملہ کرنے کے لیے، IP سپوفنگ کا استعمال کرنا ضروری ہے، یعنی یہ ضروری ہے کہ حملہ آور کا ISP جعلی سورس IP ایڈریس والے پیکٹ کو بلاک نہ کرے۔
ایک یاد دہانی کے طور پر، SAD DNS حملہ DNS سرورز میں شامل کردہ تحفظات کو نظرانداز کرتا ہے تاکہ 2008 میں Dan Kaminsky کی طرف سے تجویز کردہ کلاسک DNS کیش پوائزننگ طریقہ کو روکا جا سکے۔ کامنسکی کا طریقہ DNS استفسار ID فیلڈ کے چھوٹے سائز کو جوڑتا ہے، جو صرف 16 بٹس ہے۔ میزبان کے نام کی جعل سازی کے لیے ضروری درست DNS ٹرانزیکشن شناخت کنندہ کو منتخب کرنے کے لیے، تقریباً 7000 درخواستیں بھیجنا اور تقریباً 140 ہزار فرضی جوابات کی نقل کرنا کافی ہے۔ یہ حملہ فرضی آئی پی بائنڈنگ کے ساتھ اور مختلف DNS ٹرانزیکشن شناخت کنندگان کے ساتھ DNS حل کرنے والے کو بڑی تعداد میں پیکٹ بھیجنے پر ابلتا ہے۔ پہلے جواب کی کیشنگ کو روکنے کے لیے، ہر ڈمی جواب میں تھوڑا سا تبدیل شدہ ڈومین نام ہوتا ہے (1.example.com، 2.example.com، 3.example.com، وغیرہ)۔
اس قسم کے حملے سے بچانے کے لیے، DNS سرور مینوفیکچررز نے سورس نیٹ ورک پورٹس کی تعداد کی بے ترتیب تقسیم کو نافذ کیا جہاں سے ریزولوشن کی درخواستیں بھیجی جاتی ہیں، جس سے شناخت کنندہ کے ناکافی بڑے سائز کی تلافی ہوتی ہے۔ فرضی جواب بھیجنے کے لیے تحفظ کے نفاذ کے بعد، 16 بٹ شناخت کنندہ کو منتخب کرنے کے علاوہ، 64 ہزار بندرگاہوں میں سے ایک کو منتخب کرنا ضروری ہو گیا، جس سے انتخاب کے اختیارات کی تعداد بڑھ کر 2^32 ہو گئی۔
SAD DNS طریقہ آپ کو نیٹ ورک پورٹ نمبر کے تعین کو یکسر آسان بنانے اور کلاسک Kaminsky طریقہ پر حملے کو کم کرنے کی اجازت دیتا ہے۔ حملہ آور ICMP رسپانس پیکٹ پر کارروائی کرتے وقت نیٹ ورک پورٹس کی سرگرمی کے بارے میں لیک ہونے والی معلومات کا فائدہ اٹھا کر غیر استعمال شدہ اور فعال UDP پورٹس تک رسائی کا پتہ لگا سکتا ہے۔ یہ طریقہ ہمیں تلاش کے اختیارات کی تعداد کو 4 آرڈرز سے کم کرنے کی اجازت دیتا ہے - 2^16 کی بجائے 2^16+2^32 (131_072_4_294 کی بجائے 967_296)۔ معلومات کا لیک جو آپ کو فوری طور پر فعال UDP بندرگاہوں کا تعین کرنے کی اجازت دیتا ہے، ICMP پیکٹس کو فریگمنٹیشن درخواستوں (ICMP Fragmentation Needed flag) یا ری ڈائریکشن (ICMP Redirect flag) کے ساتھ پروسیسنگ کے کوڈ میں خامی کی وجہ سے ہے۔ اس طرح کے پیکٹ بھیجنے سے نیٹ ورک اسٹیک میں کیش کی حالت بدل جاتی ہے، جس سے سرور کے جواب کی بنیاد پر یہ تعین کرنا ممکن ہو جاتا ہے کہ کون سا UDP پورٹ فعال ہے اور کون سا نہیں۔
حملے کا منظر: جب ایک DNS حل کرنے والا ڈومین نام کو حل کرنے کی کوشش کرتا ہے، تو یہ ڈومین کی خدمت کرنے والے DNS سرور کو UDP استفسار بھیجتا ہے۔ جب حل کرنے والا جواب کا انتظار کر رہا ہوتا ہے، حملہ آور تیزی سے اس سورس پورٹ نمبر کا تعین کر سکتا ہے جو درخواست بھیجنے کے لیے استعمال کیا گیا تھا اور اسے جعلی جواب بھیجنے کے لیے، IP ایڈریس کی اسپوفنگ کا استعمال کرتے ہوئے ڈومین کی خدمت کرنے والے DNS سرور کی نقالی کرتا ہے۔ ڈی این ایس ریزولور جعلی جواب میں بھیجے گئے ڈیٹا کو کیش کرے گا اور کچھ وقت کے لیے ڈومین نام کے لیے دیگر تمام DNS درخواستوں کے لیے حملہ آور کے متبادل آئی پی ایڈریس واپس کر دے گا۔
ماخذ: opennet.ru