Eine Gruppe von Forschern der University of California in Riverside veröffentlicht Vor ein paar Tagen eine neue Variante des SAD-DNS-Angriffs was trotz des im letzten Jahr hinzugefügten Schutzes funktioniert, um zu blockieren die Schwachstelle CVE-2020-25705.
Die neue Methode ist im Allgemeinen ähnlich der letztjährigen Schwachstelle und nur durch die Verwendung einer anderen Art von Paketen differenziert ICMP, um aktive UDP-Ports zu überprüfen. Der geplante Angriff ermöglicht das Ersetzen von Dummy-Daten im Cache eines DNS-Servers, die verwendet werden kann, um die IP-Adresse einer beliebigen Domain im Cache zu fälschen und Aufrufe der Domain an den Server des Angreifers umzuleiten.
Die vorgeschlagene Methode ist nur auf dem Linux-Netzwerkstack lauffähig Aufgrund seiner Verbindung zu den Besonderheiten des ICMP-Paketverarbeitungsmechanismus in Linux fungiert es als Quelle für Datenlecks, die die Ermittlung der UDP-Portnummer vereinfachen, die der Server zum Senden einer externen Anfrage verwendet.
Laut den Forschern, die das Problem identifiziert haben, die Schwachstelle betrifft etwa 38 % der offenen Solver im Netzwerk, einschließlich beliebter DNS-Dienste wie OpenDNS und Quad9 (9.9.9.9). Bei Serversoftware kann der Angriff mit Paketen wie BIND, Unbound und dnsmasq auf einem Linux-Server ausgeführt werden. DNS-Server, die auf Windows- und BSD-Systemen ausgeführt werden, zeigen das Problem nicht. Um einen Angriff erfolgreich abzuschließen, muss IP-Spoofing verwendet werden. Es muss sichergestellt werden, dass der ISP des Angreifers keine Pakete mit einer gefälschten Quell-IP-Adresse blockiert.
Zur Erinnerung, der Angriff SAD DNS ermöglicht das Umgehen des zusätzlichen Schutzes von DNS-Servern, um die klassische DNS-Cache-Poisoning-Methode zu blockieren 2008 von Dan Kaminsky vorgeschlagen.
Kaminskys Methode manipuliert die vernachlässigbare Größe des DNS-Abfrage-ID-Felds, die nur 16 Bit beträgt. Um die richtige DNS-Transaktionskennung zu finden, die zum Spoofing des Hostnamens benötigt wird, senden Sie einfach etwa 7.000 Anfragen und simulieren etwa 140.000 gefälschte Antworten. Der Angriff läuft darauf hinaus, eine große Anzahl gefälschter IP-gebundener Pakete an das System zu senden DNS-Auflösung mit unterschiedlichen DNS-Transaktionskennungen.
Um sich vor dieser Art von Angriffen zu schützen, Hersteller von DNS-Servern eine zufällige Verteilung von Netzwerkportnummern implementiert Quelle, von der Auflösungsanfragen gesendet werden, was die unzureichend große Handle-Größe kompensiert. Nach der Implementierung des Schutzes für das Senden einer fiktiven Antwort wurde neben der Auswahl einer 16-Bit-Kennung auch die Auswahl eines der 64 Tausend Ports erforderlich, wodurch sich die Anzahl der Auswahlmöglichkeiten auf 2 erhöht hat ^ 32.
Die Methode Mit SAD DNS können Sie die Ermittlung der Netzwerkportnummer radikal vereinfachen und Angriffe reduzieren nach der klassischen Methode von Kaminsky. Ein Angreifer kann den Zugriff auf aktive und nicht verwendete UDP-Ports ermitteln, indem er bei der Verarbeitung von ICMP-Antwortpaketen durchgesickerte Informationen über die Netzwerkportaktivität ausnutzt.
Das Informationsleck, mit dem Sie aktive UDP-Ports schnell identifizieren können, ist auf einen Fehler im Code zurückzuführen, um ICMP-Pakete mit Fragmentierungs- (ICMP-Fragmentierung erforderlich-Flag) oder Umleitungs- (ICMP-Redirect-Flag) Anforderungen zu verarbeiten. Das Senden solcher Pakete ändert den Zustand des Caches auf dem Netzwerkstapel, sodass anhand der Antwort des Servers festgestellt werden kann, welcher UDP-Port aktiv ist und welcher nicht.
Änderungen, die Informationslecks blockieren, wurden Ende August in den Linux-Kernel übernommen (Der Fix war in Kernel 5.15 und September-Updates der LTS-Zweige des Kernels enthalten.) Die Lösung besteht darin, anstelle von Jenkins Hash den SipHash-Hash-Algorithmus in Netzwerk-Caches zu verwenden.
Wenn Sie mehr darüber erfahren möchten, können Sie die Details im folgenden Link.