Kürzlich Informationen über die identifizierte 7 Schwachstellen im Dnsmasq-Paket, Hier werden ein zwischengespeicherter DNS-Resolver und ein DHCP-Server kombiniert, denen der Codename DNSpooq zugewiesen wurde. Das Problems erlauben unerwünschte DNS-Cache-Angriffe oder Pufferüberläufe Dies könnte zur Remote-Ausführung des Codes eines Angreifers führen.
Obwohl vor kurzem Dnsmasq wird in regulären Linux-Distributionen nicht mehr standardmäßig als Solver verwendet, sondern weiterhin in Android und spezialisierte Distributionen wie OpenWrt und DD-WRT sowie Firmware für WLAN-Router vieler Hersteller. In normalen Distributionen ist die implizite Verwendung von dnsmasq möglich. Beispielsweise kann bei Verwendung von libvirt die Bereitstellung eines DNS-Dienstes auf virtuellen Maschinen gestartet oder durch Ändern der Einstellungen im NetworkManager-Konfigurator aktiviert werden.
Da die Upgrade-Kultur des WLAN-Routers zu wünschen übrig lässt, Forscher befürchten, dass identifizierte Probleme ungelöst bleiben könnten für eine lange Zeit und wird in automatisierte Angriffe auf Router beteiligt sein, um die Kontrolle über sie zu erlangen oder Benutzer umzuleiten, um bösartige Websites zu betrügen.
Es gibt ungefähr 40 Unternehmen, die auf Dnsmasq basierenDazu gehören Cisco, Comcast, Netgear, Ubiquiti, Siemens, Arista, Technicolor, Aruba, Wind River, Asus, AT & T, D-Link, Huawei, Juniper, Motorola, Synology, Xiaomi, ZTE und Zyxel. Benutzer solcher Geräte können gewarnt werden, den auf ihnen bereitgestellten regulären DNS-Abfrageumleitungsdienst nicht zu verwenden.
Der erste Teil der Schwachstellen entdeckt in Dnsmasq bezieht sich auf den Schutz vor DNS-Cache-Vergiftungsangriffen, basierend auf einer 2008 von Dan Kaminsky vorgeschlagenen Methode.
Identifizierte Probleme machen den vorhandenen Schutz unwirksam und erlauben das Spoofing der IP-Adresse einer beliebigen Domäne im Cache. Kaminskys Methode manipuliert die vernachlässigbare Größe des DNS-Abfrage-ID-Felds, die nur 16 Bit beträgt.
Um die richtige Kennung zu finden, die zum Fälschen des Hostnamens erforderlich ist, senden Sie einfach etwa 7.000 Anfragen und simulieren Sie etwa 140.000 falsche Antworten. Der Angriff läuft darauf hinaus, eine große Anzahl gefälschter IP-gebundener Pakete an den DNS-Resolver zu senden mit unterschiedlichen DNS-Transaktionskennungen.
Identifizierte Schwachstellen reduzieren die 32-Bit-Entropie Es wird erwartet, dass 19 Bit erraten werden müssen, was einen Cache-Vergiftungsangriff ziemlich realistisch macht. Darüber hinaus können Sie mit der Behandlung von CNAME-Einträgen durch dnsmasq die Kette von CNAME-Einträgen fälschen, um bis zu 9 DNS-Einträge gleichzeitig effizient zu fälschen.
- CVE-2020-25684: Fehlende Validierung der Anforderungs-ID in Kombination mit IP-Adresse und Portnummer bei der Verarbeitung von DNS-Antworten von externen Servern. Dieses Verhalten ist nicht mit RFC-5452 kompatibel, für das zusätzliche Anforderungsattribute erforderlich sind, wenn eine Antwort abgeglichen wird.
- CVE-2020-25686: Fehlende Validierung ausstehender Anfragen mit demselben Namen, wodurch die Verwendung der Geburtstagsmethode die Anzahl der Versuche, eine Antwort zu fälschen, erheblich reduzieren kann. In Kombination mit der Sicherheitsanfälligkeit CVE-2020-25684 kann diese Funktion die Komplexität des Angriffs erheblich reduzieren.
- CVE-2020-25685: Verwendung eines unzuverlässigen CRC32-Hashing-Algorithmus bei der Überprüfung von Antworten bei Kompilierung ohne DNSSEC (SHA-1 wird mit DNSSEC verwendet) Die Sicherheitsanfälligkeit kann verwendet werden, um die Anzahl der Versuche erheblich zu verringern, indem Sie Domänen ausnutzen können, die denselben CRC32-Hash wie die Zieldomäne haben.
- Die zweite Gruppe von Problemen (CVE-2020-25681, CVE-2020-25682, CVE-2020-25683 und CVE-2020-25687) wird durch Fehler verursacht, die bei der Verarbeitung bestimmter externer Daten zu Pufferüberläufen führen.
- Für die Sicherheitsanfälligkeiten CVE-2020-25681 und CVE-2020-25682 können Exploits erstellt werden, die zur Codeausführung auf dem System führen können.
Schließlich wird das erwähnt Schwachstellen werden in Dnsmasq Update 2.83 behoben Als Problemumgehung wird empfohlen, DNSSEC und das Abfrage-Caching mithilfe von Befehlszeilenoptionen zu deaktivieren.
Quelle: https://kb.cert.org