En gruppe forskere fra University of California ved Riverside har frigivet For nogle dage siden en ny variant af SAD DNS-angrebet som virker på trods af den beskyttelse, der blev tilføjet sidste år for at blokere CVE-2020-25705 sårbarheden.
Den nye metode er generelt svarende til sidste års sårbarhed og kun differentieret ved brug af en anden type pakker ICMP for at verificere aktive UDP-porte. Det foreslåede angreb gør det muligt at erstatte dummy-data i cachen på en DNS-server, som kan bruges til at forfalske IP-adressen på et vilkårligt domæne i cachen og omdirigere opkald til domænet til angriberens server.
Den foreslåede metode kan kun bruges på Linux-netværksstakken På grund af dens forbindelse til de særlige kendetegn ved ICMP-pakkebehandlingsmekanismen i Linux, fungerer den som en kilde til datalækager, der forenkler bestemmelsen af det UDP-portnummer, der bruges af serveren til at sende en ekstern anmodning.
Ifølge forskerne, der identificerede problemet, sårbarheden påvirker cirka 38 % af åbne løsere på netværket, herunder populære DNS-tjenester som OpenDNS og Quad9 (9.9.9.9). For serversoftware kan angrebet udføres ved hjælp af pakker som BIND, Unbound og dnsmasq på en Linux-server. DNS-servere, der kører på Windows- og BSD-systemer, viser ikke problemet. IP-spoofing skal bruges for at fuldføre et angreb. Det er nødvendigt at sikre, at hackerens internetudbyder ikke blokerer pakker med en forfalsket kilde-IP-adresse.
Som en påmindelse, angrebet SAD DNS gør det muligt at omgå ekstra beskyttelse til DNS-servere for at blokere klassisk DNS-cache-forgiftningsmetode foreslået i 2008 af Dan Kaminsky.
Kaminskys metode manipulerer den ubetydelige størrelse af DNS-forespørgsels-ID-feltet, som kun er 16 bit. For at finde den korrekte DNS-transaktions-id, der er nødvendig for at forfalske værtsnavnet, skal du blot sende omkring 7.000 anmodninger og simulere omkring 140.000 falske svar. Angrebet bunder i at sende et stort antal falske IP-bundne pakker til systemet DNS-resolver med forskellige DNS-transaktions-id'er.
For at beskytte mod denne type angreb, DNS-serverproducenter implementeret en tilfældig fordeling af netværksportnumre kilde, hvorfra opløsningsanmodninger sendes, hvilket udgjorde den utilstrækkeligt store identifikatorstørrelse. Efter implementeringen af beskyttelsen for at sende et dummy-svar blev det ud over valget af en 16-bit identifikator nødvendigt at vælge en af de 64 tusinde porte, hvilket øgede antallet af valgmuligheder til 2 ^ 32.
Metoden SAD DNS lader dig radikalt forenkle bestemmelse af netværksportnummer og reducere angreb til den klassiske Kaminsky-metode. En angriber kan bestemme adgangen til ubrugte og aktive UDP-porte ved at drage fordel af lækket information om netværksportaktivitet ved behandling af ICMP-svarpakker.
Informationslækket, der giver dig mulighed for hurtigt at identificere aktive UDP-porte, skyldes en fejl i koden til at håndtere ICMP-pakker med fragmentation (ICMP fragmentation required flag) eller omdirigering (ICMP redirect flag) anmodninger. Afsendelse af sådanne pakker ændrer cachens tilstand på netværksstakken, hvilket gør det muligt, baseret på serverens svar, at bestemme, hvilken UDP-port der er aktiv, og hvilken der ikke er.
Ændringer, der blokerer for informationslækage, blev accepteret i Linux-kernen i slutningen af august (Retningen blev inkluderet i kerne 5.15 og september-opdateringerne af kernens LTS-grene.) Løsningen er at skifte til at bruge SipHash-hash-algoritmen i netværkscaches i stedet for Jenkins Hash.
Endelig, hvis du er interesseret i at vide mere om det, kan du konsultere detaljer i følgende link.