Grupa istraživača sa Univerziteta Kalifornije u Riversideu objavila je Prije nekoliko dana nova varijanta SAD DNS napada koji radi uprkos zaštiti dodanoj prošle godine za blokiranje ranjivost CVE-2020-25705.
Nova metoda je općenito slično prošlogodišnjoj ranjivosti i samo se razlikuje korištenjem druge vrste paketa ICMP za provjeru aktivnih UDP portova. Predloženi napad omogućava zamjenu lažnih podataka u kešu DNS servera, koji se može koristiti za lažiranje IP adrese proizvoljnog domena u kešu i preusmjeravanje poziva na domenu na server napadača.
Predložena metoda je operativna samo na Linux mrežnom stogu Zbog svoje povezanosti sa specifičnostima ICMP mehanizma obrade paketa u Linuxu, on djeluje kao izvor curenja podataka koji pojednostavljuje određivanje broja UDP porta koji koristi server za slanje eksternog zahtjeva.
Prema istraživačima koji su identifikovali problem, ranjivost pogađa otprilike 38% otvorenih rješavača na mreži, uključujući popularne DNS usluge kao što su OpenDNS i Quad9 (9.9.9.9). Za serverski softver, napad se može izvesti pomoću paketa kao što su BIND, Unbound i dnsmasq na Linux serveru. DNS serveri koji rade na Windows i BSD sistemima ne pokazuju problem. IP lažiranje mora se koristiti za uspješno dovršenje napada. Potrebno je osigurati da napadačev ISP ne blokira pakete sa lažnom izvornom IP adresom.
Podsjetimo, napad SAD DNS omogućava zaobilaženje dodatne zaštite na DNS serverima kako bi se blokirao klasični metod trovanja DNS keša koju je 2008. predložio Dan Kaminsky.
Metod Kaminskog manipuliše zanemarljivom veličinom polja ID DNS upita, koje iznosi samo 16 bita. Da biste pronašli ispravan identifikator DNS transakcije potreban za lažiranje imena hosta, samo pošaljite oko 7.000 zahtjeva i simulirajte oko 140.000 lažnih odgovora. Napad se svodi na slanje velikog broja lažnih IP-vezanih paketa u sistem DNS razlučivanje s različitim identifikatorima DNS transakcija.
Za zaštitu od ove vrste napada, Proizvođači DNS servera implementirao slučajnu distribuciju brojeva mrežnih portova izvor iz kojeg se šalju zahtjevi za rješavanje, što je nadoknadilo nedovoljno veliku veličinu identifikatora. Nakon implementacije zaštite za slanje lažnog odgovora, pored odabira 16-bitnog identifikatora, postalo je potrebno odabrati jedan od 64 hiljade portova, što je povećalo broj opcija za odabir na 2 ^ 32.
Metoda SAD DNS vam omogućava da radikalno pojednostavite određivanje broja mrežnog porta i smanjite napad na klasičnu metodu Kaminskog. Napadač može odrediti pristup neiskorištenim i aktivnim UDP portovima tako što će iskoristiti procurile informacije o aktivnosti mrežnog porta prilikom obrade ICMP paketa odgovora.
Curenje informacija koje vam omogućava da brzo identifikujete aktivne UDP portove nastaje zbog greške u kodu za rukovanje ICMP paketima sa zahtjevima za fragmentaciju (zastavica potrebna za ICMP fragmentaciju) ili preusmjeravanje (ICMP oznaka preusmjeravanja). Slanje takvih paketa mijenja stanje keš memorije na mrežnom stogu, što omogućava da se na osnovu odgovora servera odredi koji je UDP port aktivan, a koji nije.
Promjene koje blokiraju curenje informacija prihvaćene su u Linux kernel krajem avgusta (Popravka je uključena u kernel 5.15 i septembarska ažuriranja LTS grana kernela.) Rješenje je prebaciti se na korištenje SipHash hash algoritma u mrežnim kešovima umjesto Jenkins Hasha.
Napokon, ako ste zainteresirani da saznate više o tome, možete se obratiti detalje na sljedećem linku.