Un grup d'investigadors de la Universitat de Califòrnia a Riverside van donar a conèixer fa alguns dies una nova variant de l'atac SAD DNS que funciona malgrat la protecció agregada l'any passat per bloquejar la vulnerabilitat CVE-2020-25705.
El nou mètode és generalment semblant a la vulnerabilitat de l'any passat i només es diferencia per l'ús d'un tipus diferent de paquets ICMP per verificar els ports UDP actius. L'atac proposat fa possible substituir dades ficticis a la memòria cau d'un servidor DNS, que es pot utilitzar per falsificar l'adreça IP d'un domini arbitrari a la memòria cau i redirigir les trucades al domini al servidor de l'atacant.
El mètode proposat és operable només a la pila de xarxa de Linux a causa de la seva connexió a les peculiaritats del mecanisme de processament de paquets ICMP a Linux, que actua com una font de fuites de dades que simplifiquen la determinació del número de port UDP utilitzat pel servidor per enviar una sol·licitud externa.
Segons els investigadors que van identificar el problema, la vulnerabilitat afecta aproximadament el 38% dels solucionadors oberts a la xarxa, inclosos els serveis DNS populars com OpenDNS i Quad9 (9.9.9.9). Per al programari de servidor, l'atac es pot fer utilitzant paquets com BIND, Unbound i dnsmasq en un servidor Linux. Els servidors DNS que s'executen en sistemes Windows i BSD no mostren el problema. Cal utilitzar la suplantació IP per completar amb èxit un atac. és necessari per garantir que l'ISP de l'atacant no bloquegi els paquets amb una adreça IP d'origen falsificada.
Com a recordatori, l'atac SAD DNS permet ometre la protecció agregada als servidors DNS per bloquejar el mètode clàssic d'enverinament de memòria cau DNS proposat poren 2008 per Dan Kaminsky.
El mètode de Kaminsky manipula la mida insignificant del camp d'identificació de la consulta de DNS, que és de només 16 bits. Per trobar l'identificador de transacció de DNS correcte necessari per falsificar el nom de host, només cal enviar unes 7.000 sol·licituds i simular unes 140.000 respostes falses. L'atac es redueix a enviar una gran quantitat de paquets falsos vinculats a IP al sistema de resolució de DNS amb diferents identificadors de transaccions de DNS.
Per protegir-vos contra aquest tipus d'atac, els fabricants de servidors DNS van implementar una distribució aleatòria dels números dels ports de xarxa d'origen des dels quals s'envien les sol·licituds de resolució, cosa que va compensar la mida de l'identificador insuficientment gran. Després de la implementació de la protecció per a l'enviament d'una resposta fictícia, a més de la selecció d'un identificador de 16 bits, es va fer necessari seleccionar un dels 64 ports, cosa que va augmentar el nombre d'opcions per a la selecció a 2 ^ 32.
el mètode SAD DNS permet simplificar radicalment la determinació del número de port de xarxa i reduir l'atac al mètode clàssic de Kaminsky. Un atacant pot determinar laccés a ports UDP actius i no utilitzats aprofitant la informació filtrada sobre lactivitat dels ports de xarxa en processar paquets de resposta ICMP.
La fuita d'informació que us permet identificar ràpidament els ports UDP actius es deu a una falla al codi per manejar paquets ICMP amb sol·licituds de fragmentació (indicador de fragmentació necessària d'ICMP) o redirecció (indicador de redireccionament d'ICMP). L'enviament d'aquests paquets canvia l'estat de la memòria cau a la pila de la xarxa, cosa que fa possible, en funció de la resposta del servidor, determinar quin port UDP està actiu i quin no.
Els canvis que bloquegen la fuga d'informació es van acceptar al nucli de Linux a finals d'agost (la correcció es va incloure al nucli 5.15 i les actualitzacions de setembre de les branques LTS del nucli). La solució és canviar l'ús de l'algorisme hash SipHash a la memòria cau de xarxa en lloc de Jenkins Hash.
Finalment si estàs interessat en poder conèixer més a l'respecte, pots consultar els detalls en el següent enllaç.