Rilasciato un gruppo di ricercatori dell'Università della California a Riverside Qualche giorno fa una nuova variante dell'attacco DNS SAD che funziona nonostante la protezione aggiunta l'anno scorso al blocco la vulnerabilità CVE-2020-25705.
Il nuovo metodo è generalmente simile alla vulnerabilità dell'anno scorso e differenziata solo dall'uso di un diverso tipo di pacchetti ICMP per verificare le porte UDP attive. L'attacco proposto permette di sostituire dati fittizi nella cache di un server DNS, che può essere utilizzato per falsificare l'indirizzo IP di un dominio arbitrario nella cache e reindirizzare le chiamate al dominio al server dell'attaccante.
Il metodo proposto è utilizzabile solo sullo stack di rete Linux A causa della sua connessione alle peculiarità del meccanismo di elaborazione dei pacchetti ICMP in Linux, funge da fonte di fughe di dati che semplificano la determinazione del numero di porta UDP utilizzata dal server per inviare una richiesta esterna.
Secondo i ricercatori che hanno identificato il problema, la vulnerabilità interessa circa il 38% dei risolutori aperti sulla rete, compresi i popolari servizi DNS come OpenDNS e Quad9 (9.9.9.9). Per il software server, l'attacco può essere effettuato utilizzando pacchetti come BIND, Unbound e dnsmasq su un server Linux. I server DNS in esecuzione su sistemi Windows e BSD non mostrano il problema. Lo spoofing IP deve essere utilizzato per completare con successo un attacco. È necessario assicurarsi che l'ISP dell'attaccante non blocchi i pacchetti con un indirizzo IP di origine contraffatto.
Come promemoria, l'attacco SAD DNS consente la protezione di bypass aggiunta ai server DNS per bloccare il classico metodo di avvelenamento della cache DNS proposto nel 2008 da Dan Kaminsky.
Il metodo di Kaminsky manipola la dimensione trascurabile del campo ID query DNS, che è di soli 16 bit. Per trovare l'identificatore di transazione DNS corretto necessario per falsificare il nome host, è sufficiente inviare circa 7.000 richieste e simulare circa 140.000 risposte false. L'attacco si riduce all'invio di un gran numero di pacchetti IP falsi al sistema Risolutore DNS con diversi identificatori di transazione DNS.
Per proteggersi da questo tipo di attacco, Produttori di server DNS implementato una distribuzione casuale dei numeri delle porte di rete sorgente da cui vengono inviate le richieste di risoluzione, che ha compensato la dimensione dell'identificatore insufficientemente grande. Dopo l'implementazione della protezione per l'invio di una risposta fittizia, oltre alla selezione di un identificatore a 16 bit, si è reso necessario selezionare una delle 64mila porte, che ha aumentato il numero di opzioni per la selezione a 2^ 32.
Il metodo SAD DNS ti consente di semplificare radicalmente la determinazione del numero di porta di rete e ridurre gli attacchi al metodo classico di Kaminsky. Un utente malintenzionato può determinare l'accesso alle porte UDP inutilizzate e attive sfruttando le informazioni trapelate sull'attività delle porte di rete durante l'elaborazione dei pacchetti di risposta ICMP.
La perdita di informazioni che consente di identificare rapidamente le porte UDP attive è dovuta a un difetto nel codice per gestire i pacchetti ICMP con richieste di frammentazione (flag di richiesta frammentazione ICMP) o di reindirizzamento (flag di reindirizzamento ICMP). L'invio di tali pacchetti modifica lo stato della cache sullo stack di rete, rendendo possibile, in base alla risposta del server, determinare quale porta UDP è attiva e quale no.
Le modifiche che bloccano la perdita di informazioni sono state accettate nel kernel Linux alla fine di agosto (La correzione era inclusa nel kernel 5.15 e negli aggiornamenti di settembre dei rami LTS del kernel.) La soluzione è passare all'utilizzo dell'algoritmo hash SipHash nelle cache di rete invece di Jenkins Hash.
Infine, se sei interessato a saperne di più, puoi consultare il dettagli nel seguente collegamento.