Grupė mokslininkų iš Kalifornijos universiteto Riverside paskelbė Prieš kelias dienas naujas SAD DNS atakos variantas kuri veikia nepaisant praėjusiais metais pridėtos apsaugos CVE-2020-25705 pažeidžiamumas.
Naujasis metodas paprastai yra panašus į praėjusių metų pažeidžiamumą ir skiriasi tik naudojant kitokio tipo paketus ICMP, kad patikrintų aktyvius UDP prievadus. Siūlomas puolimas leidžia pakeisti fiktyvius duomenis DNS serverio talpykloje, kurį galima naudoti norint suklastoti savavališko domeno IP adresą talpykloje ir nukreipti iškvietimus į domeną į užpuoliko serverį.
Siūlomas metodas veikia tik „Linux“ tinklo krūvoje Dėl savo ryšio su ICMP paketų apdorojimo mechanizmo Linux sistemoje ypatumais jis veikia kaip duomenų nutekėjimo šaltinis, kuris supaprastina serverio naudojamo UDP prievado numerio nustatymą išorinei užklausai siųsti.
Pasak mokslininkų, kurie nustatė problemą, pažeidžiamumas paveikia maždaug 38 % atvirų tinkle esančių sprendimų, įskaitant populiarias DNS paslaugas kaip OpenDNS ir Quad9 (9.9.9.9). Serverio programinės įrangos ataka gali būti vykdoma naudojant tokius paketus kaip BIND, Unbound ir dnsmasq Linux serveryje. DNS serveriai, veikiantys Windows ir BSD sistemose, nerodo problemos. Norint sėkmingai užbaigti ataką, reikia naudoti IP klastojimą. Būtina užtikrinti, kad užpuoliko IPT neblokuotų paketų su suklastotu šaltinio IP adresu.
Primename, puolimas SAD DNS leidžia apeiti papildomą DNS serverių apsaugą, kad būtų užblokuotas klasikinis DNS talpyklos apsinuodijimo metodas 2008 m. pasiūlė Danas Kaminskis.
Kaminsky metodas manipuliuoja nereikšmingu DNS užklausos ID lauko dydžiu, kuris yra tik 16 bitų. Norėdami rasti tinkamą DNS operacijos identifikatorių, reikalingą pagrindinio kompiuterio pavadinimui suklaidinti, tiesiog išsiųskite apie 7.000 140.000 užklausų ir imituokite apie XNUMX XNUMX netikrų atsakymų. Ataka apsiriboja daugybės netikrų IP paketų siuntimu į sistemą DNS sprendimas su skirtingais DNS operacijų identifikatoriais.
Norėdami apsisaugoti nuo tokio tipo atakų, DNS serverių gamintojai įdiegtas atsitiktinis tinklo prievadų numerių paskirstymas šaltinis, iš kurio siunčiamos skyros užklausos, o tai kompensavo nepakankamai didelį rankenos dydį. Įdiegus fiktyvaus atsakymo siuntimo apsaugą, be 16 bitų identifikatoriaus pasirinkimo, reikėjo pasirinkti vieną iš 64 tūkstančių prievadų, todėl pasirinkimo parinkčių skaičius padidėjo iki 2 ^ 32.
Metodas SAD DNS leidžia radikaliai supaprastinti tinklo prievado numerio nustatymą ir sumažinti atakas prie klasikinio Kaminskio metodo. Apdorodamas ICMP atsako paketus, užpuolikas gali nustatyti prieigą prie nenaudojamų ir aktyvių UDP prievadų, pasinaudodamas nutekėjusia informacija apie tinklo prievado veiklą.
Informacijos nutekėjimas, leidžiantis greitai identifikuoti aktyvius UDP prievadus, atsirado dėl kodo, skirto apdoroti ICMP paketus su fragmentavimo (reikalinga ICMP fragmentacijos žyma) arba peradresavimo (ICMP peradresavimo vėliavėlė), užklausas. Siunčiant tokius paketus pakeičiama talpyklos būsena tinklo dėtuvėje, todėl, remiantis serverio atsakymu, galima nustatyti, kuris UDP prievadas yra aktyvus, o kuris ne.
Pakeitimai, blokuojantys informacijos nutekėjimą, buvo priimti į Linux branduolį rugpjūčio pabaigoje (Pataisa buvo įtraukta į branduolio 5.15 ir rugsėjo LTS šakų branduolio atnaujinimus.) Sprendimas yra pereiti prie SipHash maišos algoritmo naudojimo tinklo talpyklose, o ne Jenkins Hash.
Galiausiai, jei norite sužinoti daugiau apie tai, galite kreiptis į išsami informacija šioje nuorodoje.