Gần đây, thông tin về đã xác định được 7 lỗ hổng trong gói Dnsmasq, kết hợp trình phân giải DNS được lưu trong bộ nhớ cache và máy chủ DHCP, được gán tên mã DNSpooq. Vấn đềs cho phép tấn công bộ nhớ cache DNS giả mạo hoặc tràn bộ đệm điều đó có thể dẫn đến việc thực thi từ xa mã của kẻ tấn công.
Mặc dù gần đây Dnsmasq không còn được sử dụng theo mặc định như một bộ giải trong các bản phân phối Linux thông thường, nó vẫn được sử dụng trong Android và các bản phân phối chuyên biệt như OpenWrt và DD-WRT, cũng như phần sụn cho các bộ định tuyến không dây từ nhiều nhà sản xuất. Trong các bản phân phối thông thường, có thể sử dụng ngầm dnsmasq, chẳng hạn như khi sử dụng libvirt, nó có thể được khởi động để cung cấp dịch vụ DNS trên máy ảo hoặc có thể được kích hoạt bằng cách thay đổi cài đặt trong trình cấu hình NetworkManager.
Vì văn hóa nâng cấp bộ định tuyến không dây để lại rất nhiều điều mong muốn, Các nhà nghiên cứu lo ngại các vấn đề đã xác định có thể vẫn chưa được giải quyết trong một thời gian dài và sẽ tham gia vào các cuộc tấn công tự động vào bộ định tuyến để giành quyền kiểm soát chúng hoặc chuyển hướng người dùng đến các trang web độc hại giả mạo.
Có khoảng 40 công ty dựa trên Dnsmasq, bao gồm Cisco, Comcast, Netgear, Ubiquiti, Siemens, Arista, Technicolor, Aruba, Wind River, Asus, AT&T, D-Link, Huawei, Juniper, Motorola, Synology, Xiaomi, ZTE và Zyxel. Người dùng các thiết bị như vậy có thể được cảnh báo không sử dụng dịch vụ chuyển hướng truy vấn DNS thông thường được cung cấp trên chúng.
Phần đầu tiên của các lỗ hổng được khám phá ở Dnsmasq đề cập đến việc bảo vệ chống lại các cuộc tấn công nhiễm độc bộ nhớ cache DNS, dựa trên một phương pháp được đề xuất vào năm 2008 bởi Dan Kaminsky.
Các vấn đề đã xác định làm cho việc bảo vệ hiện tại không hiệu quả và cho phép giả mạo địa chỉ IP của một miền tùy ý trong bộ nhớ cache. Phương pháp của Kaminsky thao tác kích thước không đáng kể của trường ID truy vấn DNS, chỉ có 16 bit.
Để tìm đúng số nhận dạng cần thiết để giả mạo tên máy chủ, chỉ cần gửi khoảng 7.000 yêu cầu và mô phỏng khoảng 140.000 phản hồi không có thật. Cuộc tấn công kết thúc bằng việc gửi một số lượng lớn các gói có giới hạn IP giả đến trình phân giải DNS với các số nhận dạng giao dịch DNS khác nhau.
Các lỗ hổng được xác định làm giảm mức entropy 32-bit dự kiến cần phải đoán 19 bit, điều này làm cho một cuộc tấn công nhiễm độc bộ nhớ cache khá thực tế. Ngoài ra, việc xử lý các bản ghi CNAME của dnsmasq cho phép nó giả mạo chuỗi các bản ghi CNAME để giả mạo hiệu quả lên đến 9 bản ghi DNS cùng một lúc.
- CVE-2020-25684: thiếu xác thực ID yêu cầu kết hợp với địa chỉ IP và số cổng khi xử lý phản hồi DNS từ máy chủ bên ngoài. Hành vi này không tương thích với RFC-5452, đòi hỏi các thuộc tính yêu cầu bổ sung được sử dụng khi khớp một phản hồi.
- CVE-2020-25686: Thiếu xác thực các yêu cầu đang chờ xử lý có cùng tên, cho phép sử dụng phương pháp ngày sinh để giảm đáng kể số lần thử giả mạo phản hồi. Kết hợp với lỗ hổng CVE-2020-25684, tính năng này có thể làm giảm đáng kể mức độ phức tạp của cuộc tấn công.
- CVE-2020-25685: sử dụng thuật toán băm CRC32 không đáng tin cậy khi xác minh phản hồi, trong trường hợp biên dịch không có DNSSEC (SHA-1 được sử dụng với DNSSEC). Lỗ hổng có thể được sử dụng để giảm đáng kể số lần thử bằng cách cho phép bạn khai thác các miền có cùng hàm băm CRC32 như miền đích.
- Nhóm sự cố thứ hai (CVE-2020-25681, CVE-2020-25682, CVE-2020-25683 và CVE-2020-25687) là do lỗi gây ra lỗi tràn bộ đệm khi xử lý một số dữ liệu bên ngoài.
- Đối với các lỗ hổng CVE-2020-25681 và CVE-2020-25682, có thể tạo ra các khai thác có thể dẫn đến việc thực thi mã trên hệ thống.
Cuối cùng, nó được đề cập rằng các lỗ hổng bảo mật được giải quyết trong bản cập nhật Dnsmasq 2.83 và như một giải pháp thay thế, bạn nên tắt DNSSEC và truy vấn bộ nhớ đệm bằng cách sử dụng các tùy chọn dòng lệnh.
Fuente: https://kb.cert.org