Μια ομάδα ερευνητών από το Πανεπιστήμιο της Καλιφόρνια στο Riverside κυκλοφόρησε Μερικές μέρες πριν μια νέα παραλλαγή της επίθεσης SAD DNS που λειτουργεί παρά την προστασία που προστέθηκε πέρυσι στο μπλοκ την ευπάθεια CVE-2020-25705.
Η νέα μέθοδος είναι γενικά παρόμοια με την ευπάθεια του περασμένου έτους και διαφοροποιείται μόνο από τη χρήση διαφορετικού τύπου πακέτων ICMP για επαλήθευση ενεργών θυρών UDP. Η προτεινόμενη επίθεση καθιστά δυνατή την αντικατάσταση εικονικών δεδομένων στη μνήμη cache ενός διακομιστή DNS, το οποίο μπορεί να χρησιμοποιηθεί για να πλαστογραφήσει τη διεύθυνση IP ενός αυθαίρετου τομέα στην κρυφή μνήμη και να ανακατευθύνει τις κλήσεις στον τομέα στον διακομιστή του εισβολέα.
Η προτεινόμενη μέθοδος είναι λειτουργική μόνο στη στοίβα δικτύου Linux Λόγω της σύνδεσής του με τις ιδιαιτερότητες του μηχανισμού επεξεργασίας πακέτων ICMP στο Linux, λειτουργεί ως πηγή διαρροών δεδομένων που απλοποιούν τον προσδιορισμό του αριθμού θύρας UDP που χρησιμοποιείται από τον διακομιστή για την αποστολή ενός εξωτερικού αιτήματος.
Σύμφωνα με τους ερευνητές που εντόπισαν το πρόβλημα, η ευπάθεια επηρεάζει περίπου το 38% των ανοιχτών λύσεων στο δίκτυο, συμπεριλαμβανομένων δημοφιλών υπηρεσιών DNS όπως το OpenDNS και το Quad9 (9.9.9.9). Για λογισμικό διακομιστή, η επίθεση μπορεί να πραγματοποιηθεί χρησιμοποιώντας πακέτα όπως BIND, Unbound και dnsmasq σε διακομιστή Linux. Οι διακομιστές DNS που εκτελούνται σε συστήματα Windows και BSD δεν εμφανίζουν το πρόβλημα. Η πλαστογράφηση IP πρέπει να χρησιμοποιηθεί για την επιτυχή ολοκλήρωση μιας επίθεσης. Είναι απαραίτητο να διασφαλιστεί ότι ο ISP του εισβολέα δεν αποκλείει πακέτα με πλαστογραφημένη διεύθυνση IP πηγής.
Για υπενθύμιση, η επίθεση Το SAD DNS επιτρέπει την παράκαμψη της πρόσθετης προστασίας στους διακομιστές DNS για τον αποκλεισμό της κλασικής μεθόδου δηλητηρίασης της προσωρινής μνήμης DNS προτάθηκε το 2008 από τον Dan Kaminsky.
Η μέθοδος του Kaminsky χειρίζεται το αμελητέο μέγεθος του πεδίου αναγνωριστικού ερωτήματος DNS, το οποίο είναι μόνο 16 bit. Για να βρείτε το σωστό αναγνωριστικό συναλλαγής DNS που απαιτείται για την παραπλάνηση του ονόματος κεντρικού υπολογιστή, απλώς στείλτε περίπου 7.000 αιτήματα και προσομοιώστε περίπου 140.000 ψεύτικες απαντήσεις. Η επίθεση συνοψίζεται στην αποστολή μεγάλου αριθμού πλαστών πακέτων δεσμευμένων με IP στο σύστημα Ανάλυση DNS με διαφορετικά αναγνωριστικά συναλλαγών DNS.
Για την προστασία από αυτού του είδους την επίθεση, Κατασκευαστές διακομιστών DNS εφάρμοσε μια τυχαία κατανομή αριθμών θυρών δικτύου πηγή από την οποία αποστέλλονται αιτήματα επίλυσης, γεγονός που αντιστάθμισε το ανεπαρκώς μεγάλο μέγεθος λαβής. Μετά την εφαρμογή της προστασίας για την αποστολή πλασματικής απάντησης, εκτός από την επιλογή ενός αναγνωριστικού 16-bit, κατέστη απαραίτητο να επιλεγεί μία από τις 64 χιλιάδες θύρες, γεγονός που αύξησε τον αριθμό των επιλογών για την επιλογή σε 2 ^ 32.
Η μέθοδος Το SAD DNS σάς επιτρέπει να απλοποιήσετε ριζικά τον προσδιορισμό του αριθμού θύρας δικτύου και να μειώσετε την επίθεση στην κλασική μέθοδο του Καμίνσκι. Ένας εισβολέας μπορεί να καθορίσει την πρόσβαση σε ενεργές και αχρησιμοποίητες θύρες UDP εκμεταλλευόμενοι πληροφορίες που έχουν διαρρεύσει σχετικά με τη δραστηριότητα της θύρας δικτύου κατά την επεξεργασία πακέτων απόκρισης ICMP.
Η διαρροή πληροφοριών που σας επιτρέπει να αναγνωρίζετε γρήγορα τις ενεργές θύρες UDP οφείλεται σε ελάττωμα στον κώδικα για τη διαχείριση πακέτων ICMP με αιτήματα κατακερματισμού (απαιτείται σημαία κατακερματισμού ICMP) ή ανακατεύθυνσης (σημαία ανακατεύθυνσης ICMP). Η αποστολή τέτοιων πακέτων αλλάζει την κατάσταση της κρυφής μνήμης στη στοίβα δικτύου, καθιστώντας δυνατό, με βάση την απόκριση του διακομιστή, να καθοριστεί ποια θύρα UDP είναι ενεργή και ποια όχι.
Οι αλλαγές που εμποδίζουν τη διαρροή πληροφοριών έγιναν αποδεκτές στον πυρήνα του Linux στα τέλη Αυγούστου (Η ενημέρωση κώδικα συμπεριλήφθηκε στις ενημερώσεις του πυρήνα 5.15 και του Σεπτεμβρίου των κλάδων LTS του πυρήνα.) Η λύση είναι να μεταβείτε στη χρήση του αλγόριθμου κατακερματισμού SipHash σε κρυφές μνήμες δικτύου αντί του Jenkins Hash.
Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα για αυτό, μπορείτε να συμβουλευτείτε το λεπτομέρειες στον παρακάτω σύνδεσμο.