Kwetsberens fûn yn Dnsmasq tastien foar spoofing fan ynhâld yn it DNS-cache

Ynformaasje oer de identifisearre 7 kwetsberens yn it Dnsmasq-pakket, dy't in cache DNS-resolver en in DHCP-server kombineart, dy't de koadenamme DNSpooq krigen. It probleems tastean skelm DNS-cache-oanfallen as bufferoverlopen dat kin liede ta eksterne útfiering fan in koade fan in oanfaller.

Ek al koartlyn Dnsmasq wurdt net langer standert brûkt as oplosser yn reguliere Linux-distribúsjes, it wurdt noch altyd brûkt yn Android en spesjalisearre distribúsjes lykas OpenWrt en DD-WRT, lykas firmware foar triedleaze routers fan in protte fabrikanten. Yn normale distribúsjes is it ymplisite gebrûk fan dnsmasq mooglik, bygelyks by it brûken fan libvirt, kin it wurde begon om DNS-tsjinst te leverjen op firtuele masines of it kin aktiveare wurde troch de ynstellings te feroarjen yn 'e NetworkManager-konfigurator.

Sûnt de upgrade-kultuer foar draadloze router in soad te winskjen lit, Undersikers binne bang dat identifisearre problemen miskien net oplost bliuwe Lange tiid en sil belutsen wêze by automatisearre oanfallen op routers om kontrôle oer har te krijen of om brûkers troch te stjoeren nei skealike siden.

D'r binne sawat 40 bedriuwen basearre op Dnsmasq, ynklusyf Cisco, Comcast, Netgear, Ubiquiti, Siemens, Arista, Technicolor, Aruba, Wind River, Asus, AT&T, D-Link, Huawei, Juniper, Motorola, Synology, Xiaomi, ZTE, en Zyxel. Brûkers fan sokke apparaten kinne wurde warskôge de reguliere tsjinst foar DNS-trochferwizings trochferwizings op har te brûken.

It earste diel fan 'e kwetsberens ûntdekt yn Dnsmasq ferwiist nei beskerming tsjin oanfallen fan DNS-cache-fergiftiging, basearre op in yn 2008 foarstelde metoade troch Dan Kaminsky.

Identifisearre problemen meitsje besteande beskerming net effektyf en tastean spoofing fan it IP-adres fan in willekeurich domein yn 'e cache. De metoade fan Kaminsky manipuleart de negearbere grutte fan it fjild foar DNS-query-ID, dat mar 16 bits is.

Om de juste identifier te finen dy't nedich is om de hostnamme te spoofjen, stjoere gewoan sawat 7.000 fersiken en simulearje sawat 140.000 falske antwurden. De oanfal komt op it ferstjoeren fan in grut oantal falske IP-bûne pakketten nei de DNS-resolver mei ferskillende DNS-transaksje-identifiers.

Identifisearre kwetsberens ferminderje 32-bit entropynivo ferwachte 19 bits te rieden, wat in oanfal fan cachefergiftiging frij realistysk makket. Derneist lit de behanneling fan dnsmasq fan CNAME-records it de keatling fan CNAME-records spoofje om effisjint oant 9 DNS-records tagelyk te spoofjen.

  • CVE-2020-25684: gebrek oan validaasje fan fersyk-ID yn kombinaasje mei IP-adres en poartenûmer by ferwurkjen fan DNS-antwurden fan eksterne servers. Dit gedrach is ynkompatibel mei RFC-5452, wat ekstra attributen foar fersiken fereasket om te brûken by oerienkomst mei in antwurd.
  • CVE-2020-25686: Tekoart oan falidaasje fan oansteande fersiken mei deselde namme, wêrtroch it gebrûk fan 'e jierdeismetoade it oantal pogingen dat nedich is om in antwurd te smiten, signifikant ferminderje. Yn kombinaasje mei de kwetsberens CVE-2020-25684 kin dizze funksje de kompleksiteit fan 'e oanfal signifikant ferminderje.
  • CVE-2020-25685: gebrûk fan ûnbetroubere CRC32-hashingalgoritme by it kontrolearjen fan antwurden, yn gefal fan kompilaasje sûnder DNSSEC (SHA-1 wurdt brûkt mei DNSSEC). De kwetsberens koe wurde brûkt om it oantal pogingen signifikant te ferminderjen troch jo domeinen te brûken dy't deselde CRC32-hash hawwe as it doeldomein.
  • De twadde set problemen (CVE-2020-25681, CVE-2020-25682, CVE-2020-25683, en CVE-2020-25687) wurdt feroarsake troch flaters dy't bufferferrin feroarsaakje by it ferwurkjen fan bepaalde eksterne gegevens.
  • Foar kwetsberens CVE-2020-25681 en CVE-2020-25682 is it mooglik om eksploaten te meitsjen dy't liede kinne ta koade-útfiering op it systeem.

Uteinlik wurdt dat neamd kwetsberens wurde oanpakt yn Dnsmasq 2.83 update en as oplossing wurdt it oanrikkemandearre om DNSSEC en caching fan query's út te skeakeljen mei kommando-rigel-opsjes.

boarne: https://kb.cert.org


De ynhâld fan it artikel hâldt him oan ús prinsipes fan redaksje etyk, Om in flater te melden klikje hjir.

Wês de earste om kommentaar

Lit jo reaksje efter

Jo e-mailadres wurdt net publisearre.

*

*

  1. Ferantwurdlik foar de gegevens: Miguel Ángel Gatón
  2. Doel fan 'e gegevens: Control SPAM, kommentaarbehear.
  3. Legitimaasje: jo tastimming
  4. Kommunikaasje fan 'e gegevens: De gegevens wurde net oan tredden kommunisearre, útsein troch wetlike ferplichting.
  5. Gegevensopslach: Databank hoste troch Occentus Networks (EU)
  6. Rjochten: Op elk momint kinne jo jo ynformaasje beheine, herstelle en wiskje.