Ang mga kahinaan na natagpuan sa Dnsmasq ay pinapayagan para sa spoofing nilalaman sa cache ng DNS

Darkcrizt

4 Minutos

Kamakailan lamang, impormasyon tungkol sa nakilala ang 7 kahinaan sa pakete ng Dnsmasq, na pinagsasama ang isang naka-cache na DNS resolver at isang server ng DHCP, na kung saan ay nakatalaga sa codename DNSpooq. Ang problemaPinapayagan ang mga pag-atake ng cache ng DNS o pag-overflow ng buffer na maaaring humantong sa remote na pagpapatupad ng code ng isang umaatake.

Kahit kailan lang Ang Dnsmasq ay hindi na ginagamit bilang default bilang isang solver sa regular na mga pamamahagi ng Linux, ginagamit pa rin ito sa Android at mga dalubhasang pamamahagi tulad ng OpenWrt at DD-WRT, pati na rin ang firmware para sa mga wireless router mula sa maraming mga tagagawa. Sa normal na pamamahagi, posible ang implicit na paggamit ng dnsmasq, halimbawa kapag gumagamit ng libvirt, maaari itong simulang magbigay ng serbisyo ng DNS sa mga virtual machine o maaari itong buhayin sa pamamagitan ng pagbabago ng mga setting sa NetworkManager configurator.

Dahil ang kultura ng pag-upgrade ng wireless router ay umalis ng maraming nais, Natatakot ang mga mananaliksik na ang mga kinikilalang problema ay maaaring manatiling hindi malulutas sa loob ng mahabang panahon at sasali sa mga awtomatikong pag-atake sa mga router upang makakuha ng kontrol sa kanila o i-redirect ang mga gumagamit sa bastos na mga nakakahamak na site.

Mayroong humigit-kumulang na 40 mga kumpanya batay sa Dnsmasq, kabilang ang Cisco, Comcast, Netgear, Ubiquiti, Siemens, Arista, Technicolor, Aruba, Wind River, Asus, AT&T, D-Link, Huawei, Juniper, Motorola, Synology, Xiaomi, ZTE, at Zyxel. Ang mga gumagamit ng mga nasabing aparato ay maaaring bigyan ng babala na huwag gamitin ang regular na serbisyo sa pag-redirect ng query sa DNS na ibinigay sa kanila.

Ang unang bahagi ng mga kahinaan natuklasan sa Dnsmasq ay tumutukoy sa proteksyon laban sa mga pag-atake ng pagkalason sa cache ng DNS, batay sa isang pamamaraan na iminungkahi noong 2008 ni Dan Kaminsky.

Ang mga natukoy na isyu ay ginagawang hindi epektibo ang umiiral na proteksyon at payagan ang spoofing ang IP address ng isang di-makatwirang domain sa cache. Ang pamamaraan ni Kaminsky ay nagmamanipula ng hindi bayang sukat ng patlang ng query ng DNS query, na 16 na piraso lamang.

Upang hanapin ang tamang pagkakakilanlan na kinakailangan upang mambula ang hostname, magpadala lamang ng halos 7.000 mga kahilingan at gayahin ang tungkol sa 140.000 mga bogus na tugon. Ang pag-atake ay kumulo sa pagpapadala ng isang malaking bilang ng mga pekeng pack na naka-bound sa IP sa resolver ng DNS na may iba't ibang mga identifier ng transaksyon sa DNS.

Ang mga natukoy na kahinaan ay binabawasan ang antas ng 32-bit na entropy inaasahan na kailangang hulaan ang 19 na piraso, na ginagawang makatotohanang isang pag-atake ng pagkalason sa cache. Bilang karagdagan, ang paghawak ng dnsmasq ng mga tala ng CNAME ay pinapayagan itong spoof ang CNAME record chain upang mahusay na mag-spoof hanggang sa 9 na mga DNS record nang sabay-sabay.

  • CVE-2020-25684: kawalan ng pagpapatunay ng request ID kasama ang IP address at numero ng port kapag pinoproseso ang mga tugon ng DNS mula sa mga panlabas na server. Ang pag-uugali na ito ay hindi tugma sa RFC-5452, na nangangailangan ng mga karagdagang katangian ng kahilingan upang magamit kapag tumutugma sa isang tugon.
  • CVE-2020-25686: Kakulangan ng pagpapatunay ng mga nakabinbing kahilingan na may parehong pangalan, pinapayagan ang paggamit ng paraan ng kaarawan upang makabuluhang bawasan ang bilang ng mga pagtatangka na kinakailangan upang palsipikahin ang isang tugon. Kasabay ng kahinaan ng CVE-2020-25684, ang tampok na ito ay maaaring makabuluhang mabawasan ang pagiging kumplikado ng pag-atake.
  • CVE-2020-25685: paggamit ng hindi maaasahang CRC32 hashing algorithm kapag napatunayan ang mga tugon, sa kaso ng pagtitipon nang walang DNSSEC (SHA-1 ay ginagamit sa DNSSEC). Ang kahinaan ay maaaring magamit upang makabuluhang bawasan ang bilang ng mga pagtatangka sa pamamagitan ng pagpapahintulot sa iyo na samantalahin ang mga domain na mayroong parehong CRC32 hash bilang target na domain.
  • Ang pangalawang hanay ng mga problema (CVE-2020-25681, CVE-2020-25682, CVE-2020-25683, at CVE-2020-25687) ay sanhi ng mga error na sanhi ng pag-apaw ng buffer kapag pinoproseso ang ilang mga panlabas na data.
  • Para sa mga kahinaan sa CVE-2020-25681 at CVE-2020-25682, posible na lumikha ng mga pagsasamantala na maaaring humantong sa pagpapatupad ng code sa system.

Sa wakas nabanggit na ang mga kahinaan ay hinarap sa pag-update ng Dnsmasq 2.83 at bilang isang solusyon, inirerekumenda na huwag paganahin ang DNSSEC at pag-cache ng query gamit ang mga pagpipilian sa linya ng utos.

Fuente: https://kb.cert.org


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.