DNSSEC پروٹوکول کے مختلف نفاذ میں دو کمزوریوں کی نشاندہی کی گئی ہے، جو BIND، PowerDNS، dnsmasq، Knot Resolver، اور Unbound DNS حل کرنے والوں کو متاثر کرتی ہیں۔ کمزوریاں DNS حل کرنے والوں کے لیے سروس سے انکار کا سبب بن سکتی ہیں جو DNSSEC کی توثیق کو زیادہ CPU بوجھ کی وجہ سے کرتے ہیں جو دیگر سوالات کی کارروائی میں مداخلت کرتا ہے۔ حملہ کرنے کے لیے، DNSSEC کا استعمال کرتے ہوئے DNS حل کرنے والے کو درخواست بھیجنا کافی ہے، جس سے حملہ آور کے سرور پر خصوصی طور پر ڈیزائن کیے گئے DNS زون میں کال کی جاتی ہے۔
مسائل کی نشاندہی کی گئی:
- CVE-2023-50387 (کوڈ نام کی ٹریپ) - جب خاص طور پر ڈیزائن کیے گئے DNS زونز تک رسائی حاصل کرتے ہیں، تو یہ DNSSEC چیکوں کے اہم CPU بوجھ اور طویل عمل درآمد کے وقت کی وجہ سے سروس سے انکار کا باعث بنتا ہے۔ حملہ کرنے کے لیے، حملہ آور کے زیر کنٹرول DNS سرور پر نقصان دہ ترتیبات کے ساتھ ایک ڈومین زون رکھنا ضروری ہے، اور یہ بھی یقینی بنانا ہے کہ اس زون تک ایک بار بار آنے والے DNS سرور کے ذریعے رسائی حاصل کی جائے، اس سروس سے انکار جس کی حملہ آور کوشش کرتا ہے۔ .
نقصان دہ ترتیبات میں ایک زون کے لیے متضاد کلیدوں، RRSET ریکارڈز، اور ڈیجیٹل دستخطوں کے امتزاج کا استعمال شامل ہے۔ ان کلیدوں کو استعمال کرتے ہوئے تصدیق کرنے کی کوشش کے نتیجے میں وقت لگتا ہے، وسائل سے متعلق آپریشنز جو CPU کو مکمل طور پر لوڈ کر سکتے ہیں اور دیگر درخواستوں کی پروسیسنگ کو روک سکتے ہیں (مثال کے طور پر، یہ دعویٰ کیا جاتا ہے کہ BIND پر حملے میں اس کی پروسیسنگ کو روکنا ممکن تھا۔ 16 گھنٹے کے لیے دیگر درخواستیں)۔
- CVE-2023-50868 (کوڈ نام NSEC3) خاص طور پر تیار کردہ DNSSEC جوابات پر کارروائی کرتے وقت NSEC3 (Next Secure v3) ریکارڈز میں ہیشز کا حساب لگاتے وقت اہم حساب کتاب کی وجہ سے سروس سے انکار ہے۔ حملے کا طریقہ پہلی کمزوری سے ملتا جلتا ہے، سوائے اس کے کہ حملہ آور کے DNS سرور پر NSEC3 RRSET ریکارڈز کا خاص طور پر ڈیزائن کیا گیا سیٹ بنایا گیا ہے۔
واضح رہے کہ مذکورہ بالا کمزوریوں کی ظاہری شکل DNSSEC میں ڈی این ایس سرور کے لیے تمام دستیاب کرپٹوگرافک کیز بھیجنے کی اہلیت کی تعریف کی وجہ سے ہوتی ہے، جب کہ حل کرنے والوں کو موصول ہونے والی کسی بھی کلید کو اس وقت تک پراسیس کرنا چاہیے جب تک چیک کامیابی سے مکمل نہ ہو جائے یا تمام موصول شدہ چابیاں کی تصدیق کی گئی ہے.
کمزوریوں کو روکنے کے اقدامات کے طور پر، حل کرنے والے اعتماد کے عمل میں شامل DNSSEC کیز کی زیادہ سے زیادہ تعداد اور NSEC3 کے لیے ہیش کیلکولیشن کی زیادہ سے زیادہ تعداد کو محدود کرتے ہیں، اور ہر RRSET (کلیدی دستخط کے امتزاج) اور ہر سرور کے جواب کے لیے تصدیقی کوششوں کو بھی محدود کرتے ہیں۔
ان باؤنڈ (1.19.1)، پاور ڈی این ایس ریکرسر (4.8.6، 4.9.3، 5.0.2)، ناٹ ریزولور (5.7.1)، dnsmasq (2.90) اور BIND (9.16.48، 9.18.24) کے اپ ڈیٹس میں کمزوریاں طے کی گئی ہیں۔ .9.19.21 اور XNUMX)۔ تقسیم میں کمزوریوں کی کیفیت کا اندازہ ان صفحات پر لگایا جا سکتا ہے: Debian، Ubuntu، SUSE، RHEL، Fedora، Arch Linux، Gentoo، Slackware، NetBSD، FreeBSD۔
BIND DNS سرور ورژن 9.16.48، 9.18.24 اور 9.19.21 نے مزید کئی خطرات کو بھی طے کیا:
- CVE-2023-4408 بڑے DNS پیغامات کو پارس کرنا زیادہ CPU بوجھ کا سبب بن سکتا ہے۔
- CVE-2023-5517 - خاص طور پر تیار کردہ ریورس زون کی درخواست ایک اسسٹ چیک کے متحرک ہونے کی وجہ سے حادثے کا باعث بن سکتی ہے۔ مسئلہ صرف "nxdomain-redirect" کی ترتیب کے ساتھ کنفیگریشن میں ظاہر ہوتا ہے۔
- CVE-2023-5679 - DNS64 سپورٹ اور "serv-stale" فعال (ترتیبات، stale-cache-enable اور stale-answer-enable) والے سسٹمز پر اسسٹ چیک کے متحرک ہونے کی وجہ سے بار بار ہوسٹ کا پتہ لگانا کریش کا باعث بن سکتا ہے۔
- CVE-2023-6516 خاص طور پر تیار کردہ تکراری سوالات اس عمل کو ان کے لیے دستیاب میموری کو ختم کرنے کا سبب بن سکتے ہیں۔
ماخذ: opennet.ru