Baru-baru ini, informasi tentang mengidentifikasi 7 kerentanan dalam paket Dnsmasq, yang menggabungkan pemecah DNS cache dan server DHCP, yang diberi nama kode DNSpooq. Masalahs memungkinkan serangan cache DNS nakal atau buffer overflows yang dapat mengakibatkan eksekusi kode penyerang dari jarak jauh.
Padahal baru-baru ini Dnsmasq tidak lagi digunakan secara default sebagai pemecah di distribusi Linux biasa, itu masih digunakan di Android dan distribusi khusus seperti OpenWrt dan DD-WRT, serta firmware untuk router nirkabel dari banyak produsen. Dalam distribusi normal, penggunaan implisit dnsmasq dimungkinkan, misalnya saat menggunakan libvirt, dapat dimulai untuk menyediakan layanan DNS pada mesin virtual atau dapat diaktifkan dengan mengubah pengaturan di konfigurator NetworkManager.
Karena budaya peningkatan router nirkabel meninggalkan banyak hal yang diinginkan, Para peneliti khawatir masalah yang teridentifikasi mungkin tetap tidak terpecahkan untuk waktu yang lama dan akan terlibat dalam serangan otomatis pada router untuk mendapatkan kendali atas mereka atau mengarahkan pengguna ke situs jahat penipu.
Ada sekitar 40 perusahaan berdasarkan Dnsmasq, termasuk Cisco, Comcast, Netgear, Ubiquiti, Siemens, Arista, Technicolor, Aruba, Wind River, Asus, AT&T, D-Link, Huawei, Juniper, Motorola, Synology, Xiaomi, ZTE, dan Zyxel. Pengguna perangkat tersebut dapat diperingatkan untuk tidak menggunakan layanan pengalihan kueri DNS biasa yang disediakan pada perangkat tersebut.
Bagian pertama dari kerentanan ditemukan di Dnsmasq mengacu pada perlindungan terhadap serangan keracunan cache DNS, berdasarkan metode yang diusulkan pada tahun 2008 oleh Dan Kaminsky.
Masalah yang teridentifikasi membuat perlindungan yang ada menjadi tidak efektif dan mengizinkan spoofing alamat IP dari domain arbitrer di cache. Metode Kaminsky memanipulasi ukuran kolom ID kueri DNS yang dapat diabaikan, yang hanya 16 bit.
Untuk menemukan pengenal yang benar yang diperlukan untuk memalsukan nama host, cukup kirim sekitar 7.000 permintaan dan simulasikan sekitar 140.000 tanggapan palsu. Serangan itu bermuara pada pengiriman sejumlah besar paket IP-terikat palsu ke resolver DNS dengan pengidentifikasi transaksi DNS yang berbeda.
Kerentanan yang teridentifikasi mengurangi tingkat entropi 32-bit diharapkan perlu menebak 19 bit, yang membuat serangan keracunan cache cukup realistis. Selain itu, penanganan data CNAME dnsmasq memungkinkannya untuk memalsukan rantai data CNAME untuk secara efisien melakukan spoof hingga 9 data DNS dalam satu waktu.
- CVE-2020-25684: kurangnya validasi ID permintaan yang dikombinasikan dengan alamat IP dan nomor port saat memproses tanggapan DNS dari server eksternal. Perilaku ini tidak kompatibel dengan RFC-5452, yang memerlukan atribut permintaan tambahan untuk digunakan saat mencocokkan respons.
- CVE-2020-25686: Kurangnya validasi permintaan tertunda dengan nama yang sama, memungkinkan penggunaan metode birthday secara signifikan mengurangi jumlah upaya yang diperlukan untuk memalsukan respons. Dikombinasikan dengan kerentanan CVE-2020-25684, fitur ini dapat secara signifikan mengurangi kompleksitas serangan.
- CVE-2020-25685: penggunaan algoritme hashing CRC32 yang tidak dapat diandalkan saat memverifikasi respons, dalam kasus kompilasi tanpa DNSSEC (SHA-1 digunakan dengan DNSSEC). Kerentanan dapat digunakan untuk secara signifikan mengurangi jumlah upaya dengan memungkinkan Anda untuk mengeksploitasi domain yang memiliki hash CRC32 yang sama dengan domain target.
- Rangkaian masalah kedua (CVE-2020-25681, CVE-2020-25682, CVE-2020-25683, dan CVE-2020-25687) disebabkan oleh kesalahan yang menyebabkan buffer overflows saat memproses data eksternal tertentu.
- Untuk kerentanan CVE-2020-25681 dan CVE-2020-25682, dimungkinkan untuk membuat eksploitasi yang dapat mengakibatkan eksekusi kode pada sistem.
Akhirnya disebutkan bahwa kerentanan diatasi dalam pembaruan Dnsmasq 2.83 dan sebagai solusinya, disarankan untuk menonaktifkan DNSSEC dan kueri caching menggunakan opsi baris perintah.
sumber: https://kb.cert.org