Нещодавно з'явилася інформація про виявив 7 вразливих місць у пакеті Dnsmasq, який поєднує кешований DNS-розподільник та DHCP-сервер, яким було присвоєно кодову назву DNSpooq. Проблемаs дозволяють зловмисні атаки кешу DNS або переповнення буфера що може призвести до віддаленого виконання коду зловмисника.
Хоча нещодавно Dnsmasq більше не використовується за замовчуванням як вирішувач у звичайних дистрибутивах Linux, він все ще використовується в Android та спеціалізовані дистрибутиви, такі як OpenWrt та DD-WRT, а також прошивки для бездротових маршрутизаторів багатьох виробників. У звичайних дистрибутивах можливе неявне використання dnsmasq, наприклад, коли використовується libvirt, його можна запустити для надання служби DNS на віртуальних машинах або активувати, змінивши налаштування в конфігураторі NetworkManager.
Оскільки культура оновлення бездротового маршрутизатора залишає бажати кращого, Дослідники побоюються, що виявлені проблеми можуть залишатися невирішеними протягом тривалого часу і братиме участь в автоматизованих атаках на маршрутизатори, щоб отримати контроль над ними або перенаправити користувачів на зловмисні сайти.
Існує приблизно 40 компаній, що базуються на Dnsmasq, включаючи Cisco, Comcast, Netgear, Ubiquiti, Siemens, Arista, Technicolor, Аруба, Wind River, Asus, AT&T, D-Link, Huawei, Juniper, Motorola, Synology, Xiaomi, ZTE та Zyxel. Користувачів таких пристроїв можна попередити, щоб вони не користувались регулярною службою перенаправлення запитів DNS, що надається на них.
Перша частина вразливостей виявлений у Днсмаску відноситься до захисту від атак отруєння кешем DNS, заснований на методі, запропонованому в 2008 році Даном Камінським.
Виявлені проблеми роблять існуючий захист неефективним і дозволяють підробляти IP-адресу довільного домену в кеші. Метод Камінського маніпулює незначним розміром поля ідентифікатора запиту DNS, який становить лише 16 біт.
Щоб знайти правильний ідентифікатор, необхідний для підробки імені хосту, просто надішліть близько 7.000 запитів та змоделюйте близько 140.000 XNUMX неправдивих відповідей. Атака зводиться до надсилання великої кількості підроблених пакетів, пов'язаних з IP-адресами, на вирішувач DNS з різними ідентифікаторами транзакцій DNS.
Виявлені уразливості знижують рівень 32-розрядної ентропії очікується, що потрібно буде вгадати 19 біт, що робить атаку на отруєння кешу цілком реалістичною. Крім того, обробка dnsmasq записів CNAME дозволяє йому підробляти ланцюжок записів CNAME, щоб ефективно підробляти до 9 записів DNS одночасно.
- CVE-2020-25684: відсутність перевірки ідентифікатора запиту в поєднанні з IP-адресою та номером порту при обробці відповідей DNS із зовнішніх серверів. Ця поведінка несумісна з RFC-5452, який вимагає використання додаткових атрибутів запиту при збігу відповіді.
- CVE-2020-25686: Відсутність перевірки очікуваних запитів з тим самим іменем, що дозволяє використовувати метод дня народження значно зменшити кількість спроб, необхідних для фальсифікації відповіді. У поєднанні з уразливістю CVE-2020-25684 ця функція може значно зменшити складність атаки.
- CVE-2020-25685: використання ненадійного алгоритму хешування CRC32 під час перевірки відповідей, у разі компіляції без DNSSEC (SHA-1 використовується з DNSSEC). Вразливість може бути використана для значного зменшення кількості спроб, дозволяючи використовувати домени, які мають той самий хеш CRC32, що і цільовий домен.
- Другий набір проблем (CVE-2020-25681, CVE-2020-25682, CVE-2020-25683 та CVE-2020-25687) спричинений помилками, які спричиняють переповнення буфера при обробці певних зовнішніх даних.
- Для вразливостей CVE-2020-25681 та CVE-2020-25682 можна створити експлоїти, які можуть призвести до виконання коду в системі.
Нарешті згадується, що уразливості розглядаються в Dnsmasq оновлення 2.83 і в якості обхідного способу рекомендується вимкнути DNSSEC та кешування запитів за допомогою параметрів командного рядка.
Фуенте: https://kb.cert.org