A kutatók számos hibát tártak fel a népszerű nyílt forráskódú DNSmasq szoftverben, amely otthoni és kereskedelmi útválasztókhoz és szerverekhez tartozó Domain Name System (DNS) válaszok gyorsítótárazásához használnak.

Az összefoglaló néven DNSooq-ként hivatkozott sérülékenységek ─ az elnevezés a “DNS spoofing” nevezetű technikából és a DNSmasq végén található “q” betűből ered ─ közül egyesek lehetővé tehetik DNS gyorsítótár-mérgezéses támadás (DNS spoofing) kivitelezését, a sebezhetőségeket közösen kihasználva pedig akár távoli kódfuttatás vagy szolgáltatás megtagadásos kondíció teremtése is lehetséges.

“A DNSpooq a mindenütt elérhető nyílt forráskódú DNSmasq szoftverben talált sebezhetőségek sorozata, amely azt bizonyítja, hogy hiába telt el már 13 év az utolsó nagyobb támadás (Kaminsky támadás) leírása óta, a DNS rendszer továbbra sem biztonságos.” ─ hangsúlyozzák a JSOF biztonsági kutatói egy friss elemzésben.

A kutatók szerint az interneten felől nyíltan mintegy 1 millió DNSmasq szerver érhető el, amelyek egy sérülékeny verzió esetében könnyű kihasználást tesznek lehetővé. Kitettséget jelent ugyanakkor az is, ha a sérülékeny DNSmasq szerver a belső hálózaton belül “hallgat”, ebben az esetben a támadónak elég megszereznie a hálózatban működő egyik eszköz feletti irányítást.

Az alábbiakban áttekintjük a DNSooq hibák főbb jellemzőit.

DNS gyorsítótár-mérgezés (DNS cache poisoning vagy DNS spoofing) hibák

A sérülékenységek közül három (CVE-2020-25686, CVE-2020-25684 és CVE-2020-25685) lehetővé teheti ún. DNS gyorsítótár mérgezés végrehajtását.

A DNS gyorsítótár-mérgezés egy, a tartományneveket IP-címekre fordító kiszolgáló elleni támadás típus, amelynek során hamis adatokat juttatnak a szerver gyorsítótárába. Ezáltal az adott webcímre kapcsolódni próbáló kliensek nem a megfelelő kiszolgálóval, hanem egy másik, a támadó által meghatározott géppel próbálnak meg kapcsolatot létesíteni, ami tetszőleges weboldalt jeleníthet meg az áldozat böngészőjében.

Mindez különféle webalapú támadáshoz vezethet ─ adathalászat, káros kódok terjesztése, stb. ─ hiszen az áldozatok úgy vélik, hogy egy megbízható weboldalt böngésznek, azonban valójában egy rosszindulatú webhellyel van dolguk.

Mivel rengeteg további szolgáltatás is a címfeloldáson alapszik, ezért a sebezhetőséget kihasználó támadók képesek más hálózati forgalmat is befolyásolni, mint például az e-mail forgalmat, az SSH, az RDP és más távoli elérést lehetővé tévő szolgáltatások forgalmát, hanghívásokat, szoftverfrissítéseket és így tovább.

Puffertúlcsordulásos (Buffer Overflow) hibák

A kutatók négy puffertúlcsordulásos sebezhetőségre (CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681) is rámutattak a DNSmasq-kal kapcsolatban. A memória korruptálódási hibát a támadó egy speciálisan összeállított DNS válasszal válthatja ki. A támadás többek közt szolgáltatásmegtagadáshoz és potenciálisan távoli kódfuttatáshoz vezethet. A kutatók szerint, ha a támadók ezeket a sérülékenységeket összekapcsolják, többlépcsős támadások kivitelezésére nyílik lehetőség.

Míg ezekkel a heap alapú puffertúlcsordulásos hibákkal szolgáltatásmegtagadási támadás idézhető elő, addig az egyik sebezhetőség (CVE-2020-25682) kihasználásával távoli kódfuttatás hajtható végre azon a DNS szerveren, amely rendelkezik DNSSEC (Domain Name System Security Extensions) biztonsági beállítással is.

Javítás

A kutatók 2020 augusztusában nyilvánosságra hozták a hibákat és ebben a hónapban nyilvánosan felfedték azokat. Ezek a biztonsági hibák a 2.83-as DNSmasq verzióban javításra kerülek.

Az IoT és beágyazott eszközöket használó felhasználóknak javasolt felkeresni az eszköz gyártóját, aki további információval tudja ellátni őket megfelelő biztonsági frissítés tekintetében. 

Források:

[1] https://threatpost.com/dnspooq-flaws-allow-dns-hijacking-of-millions-of-devices/163163/

Címkék

otthoni kiberbiztonság szervezeti kiberbiztonság