Een groep onderzoekers van de Universiteit van Californië in Riverside vrijgegeven Een paar dagen geleden een nieuwe variant van de SAD DNS-aanval die werkt ondanks de bescherming die vorig jaar is toegevoegd om te blokkeren de CVE-2020-25705 kwetsbaarheid.
De nieuwe methode is over het algemeen: vergelijkbaar met de kwetsbaarheid van vorig jaar en alleen gedifferentieerd door het gebruik van een ander type pakketten ICMP om actieve UDP-poorten te verifiëren. De voorgestelde aanval maakt het mogelijk om dummy-gegevens in de cache van een DNS-server te vervangen, die kan worden gebruikt om het IP-adres van een willekeurig domein in de cache te vervalsen en oproepen naar het domein om te leiden naar de server van de aanvaller.
De voorgestelde methode is alleen bruikbaar op de Linux-netwerkstack Vanwege de verbinding met de eigenaardigheden van het ICMP-pakketverwerkingsmechanisme in Linux, fungeert het als een bron van gegevenslekken die de bepaling van het UDP-poortnummer dat door de server wordt gebruikt om een extern verzoek te verzenden, vereenvoudigen.
Volgens de onderzoekers die het probleem identificeerden, de kwetsbaarheid treft ongeveer 38% van de open oplossers op het netwerk, inclusief populaire DNS-services zoals OpenDNS en Quad9 (9.9.9.9). Voor serversoftware kan de aanval worden uitgevoerd met pakketten als BIND, Unbound en dnsmasq op een Linux-server. DNS-servers die op Windows- en BSD-systemen draaien, vertonen het probleem niet. IP-spoofing moet worden gebruikt om een aanval met succes af te ronden. Het is noodzakelijk om ervoor te zorgen dat de ISP van de aanvaller geen pakketten met een vervalst bron-IP-adres blokkeert.
Ter herinnering, de aanval SAD DNS maakt het mogelijk om toegevoegde beveiliging van DNS-servers te omzeilen om de klassieke DNS-cachevergiftigingsmethode te blokkeren in 2008 voorgesteld door Dan Kaminsky.
Kaminsky's methode manipuleert de verwaarloosbare grootte van het DNS-query-ID-veld, dat slechts 16 bits is. Om de juiste DNS-transactie-ID te vinden die nodig is om de hostnaam te vervalsen, stuurt u ongeveer 7.000 verzoeken en simuleert u ongeveer 140.000 nepreacties. De aanval komt neer op het verzenden van een groot aantal nep-IP-gebonden pakketten naar het systeem DNS-resolver met verschillende DNS-transactie-ID's.
Om u tegen dit soort aanvallen te beschermen, Fabrikanten van DNS-servers een willekeurige verdeling van netwerkpoortnummers geïmplementeerd bron van waaruit resolutieverzoeken worden verzonden, wat de onvoldoende grote identifier-grootte compenseerde. Na de implementatie van de bescherming voor het verzenden van een fictief antwoord, werd het, naast de selectie van een 16-bits identifier, noodzakelijk om een van de 64 duizend poorten te selecteren, waardoor het aantal opties voor de selectie toenam tot 2 ^ 32.
De methode Met SAD DNS kunt u het bepalen van netwerkpoortnummers radicaal vereenvoudigen en aanvallen verminderen volgens de klassieke Kaminsky-methode. Een aanvaller kan de toegang tot ongebruikte en actieve UDP-poorten bepalen door te profiteren van gelekte informatie over netwerkpoortactiviteit bij het verwerken van ICMP-antwoordpakketten.
Het informatielek waarmee u snel actieve UDP-poorten kunt identificeren, is te wijten aan een fout in de code om ICMP-pakketten met fragmentatie- (ICMP-fragmentatie vereist-vlag) of omleidingsverzoeken (ICMP-omleidingsvlag) te verwerken. Het verzenden van dergelijke pakketten verandert de status van de cache op de netwerkstack, waardoor het mogelijk is om op basis van de reactie van de server te bepalen welke UDP-poort actief is en welke niet.
Wijzigingen die het lekken van informatie blokkeren, werden eind augustus in de Linux-kernel geaccepteerd (De fix was opgenomen in kernel 5.15 en de september-updates van de LTS-takken van de kernel.) De oplossing is om over te schakelen naar het gebruik van het SipHash-hash-algoritme in netwerkcaches in plaats van Jenkins Hash.
Tot slot, als u er meer over wilt weten, kunt u de details in de volgende link.