Nemrégiben a 7 biztonsági rést azonosított a Dnsmasq csomagban, amely egyesíti a gyorsítótárazott DNS-megoldót és a DHCP-kiszolgálót, amelyekhez a DNSpooq kódnevet rendelték. A problémas lehetővé teszik a szélhámos DNS gyorsítótár támadásokat vagy a puffer túlcsordulását ez a támadó kódjának távoli végrehajtásához vezethet.
Annak ellenére, hogy nemrégiben A Dnsmasq-ot alapértelmezés szerint már nem használják megoldóként a szokásos Linux-disztribúciókban, továbbra is az Android-ban használják és speciális disztribúciók, például OpenWrt és DD-WRT, valamint számos gyártó firmware-je vezeték nélküli útválasztókhoz. Normál elosztásokban a dnsmasq implicit használata lehetséges, például a libvirt használatakor meg lehet kezdeni DNS-szolgáltatás nyújtását virtuális gépeken, vagy aktiválni lehet a NetworkManager konfigurátor beállításainak megváltoztatásával.
Mivel a vezeték nélküli router frissítési kultúrája sok kívánnivalót hagy maga után, A kutatók attól tartanak, hogy az azonosított problémák megoldatlanok maradhatnak hosszú ideig, és automatizált támadásokban vesz részt az útválasztók ellen, hogy megszerezzék az irányítást felettük, vagy átirányítsák a felhasználókat rosszindulatú webhelyekre.
Körülbelül 40 vállalat működik a Dnsmasq-on, köztük a Cisco, a Comcast, a Netgear, az Ubiquiti, a Siemens, az Arista, a Technicolor, az Aruba, a Wind River, az Asus, az AT&T, a D-Link, a Huawei, a Juniper, a Motorola, a Synology, a Xiaomi, a ZTE és a Zyxel. Az ilyen eszközök felhasználóit figyelmeztethetjük, hogy ne használják a rendszeres DNS-lekérdezési átirányítási szolgáltatást.
A sérülékenységek első része Dnsmasq-ban fedezték fel a DNS gyorsítótár-mérgezési támadások elleni védelemre utal, a Dan Kaminsky által 2008-ban javasolt módszer alapján.
Azonosított problémák a meglévő védelmet hatástalanná teszik és lehetővé teszi egy tetszőleges tartomány IP-címének hamisítását a gyorsítótárban. Kaminsky módszere a DNS lekérdezésazonosító mező elhanyagolható méretét manipulálja, amely csak 16 bit.
A gazdagépnév hamisításához szükséges helyes azonosító megtalálásához küldjön csak körülbelül 7.000 kérést, és szimuláljon mintegy 140.000 XNUMX hamis választ. A támadás abból áll, hogy nagyszámú hamis IP-kötésű csomagot küld a DNS-megoldónak különböző DNS tranzakciós azonosítókkal.
Az azonosított sérülékenységek csökkentik a 32 bites entrópia szintjét várhatóan 19 bitet kell kitalálnia, ami meglehetősen reálisvá teszi a gyorsítótár-mérgezési támadást. Ezenkívül a dnsmasq CNAME-rekordjainak kezelése lehetővé teszi a CNAME-rekordok láncolatának meghamisítását, hogy egyszerre akár 9 DNS-rekordot is hatékonyan csempészhessen.
- CVE-2020-25684: a kérelemazonosító érvényesítésének hiánya az IP-címmel és a portszámmal együtt a külső szerverekről érkező DNS-válaszok feldolgozása során. Ez a viselkedés nem kompatibilis az RFC-5452-vel, amely megköveteli, hogy a válasz egyeztetésekor további kérési attribútumokat kell használni.
- CVE-2020-25686: Az azonos nevű függőben lévő kérelmek érvényesítésének hiánya, ami lehetővé teszi a születésnapi módszer használatát, hogy jelentősen csökkentsék a válasz meghamisításához szükséges kísérletek számát. A CVE-2020-25684 biztonsági réssel együtt ez a szolgáltatás jelentősen csökkentheti a támadás összetettségét.
- CVE-2020-25685: megbízhatatlan CRC32 hash algoritmus használata a válaszok ellenőrzésénél, DNSSEC nélküli fordítás esetén (az SHA-1-et DNSSEC-sel együtt használják) A biztonsági rés felhasználható a próbálkozások számának jelentős csökkentésére azáltal, hogy lehetővé teszi olyan tartományok kiaknázását, amelyek ugyanazzal a CRC32 hash-szal rendelkeznek, mint a céltartomány.
- A második problémakört (CVE-2020-25681, CVE-2020-25682, CVE-2020-25683 és CVE-2020-25687) olyan hibák okozzák, amelyek puffertúlcsordulást okoznak bizonyos külső adatok feldolgozása során.
- A CVE-2020-25681 és a CVE-2020-25682 biztonsági rések esetében lehetőség van olyan kihasználások létrehozására, amelyek kódfuttatáshoz vezethetnek a rendszeren.
Végül megemlítik azt a sérülékenységekkel a Dnsmasq 2.83 frissítés foglalkozik és megoldásként ajánlott a DNSSEC és a lekérdezés gyorsítótárazásának letiltása a parancssori opciók segítségével.
forrás: https://kb.cert.org