Grupa naukowców z Uniwersytetu Kalifornijskiego w Riverside zwolniona Kilka dni temu nowy wariant ataku SAD DNS który działa pomimo ochrony dodanej w zeszłym roku do blokady luka CVE-2020-25705.
Nowa metoda to ogólnie podobna do zeszłorocznej podatności i różnicowana jedynie przez użycie innego rodzaju pakietów ICMP do weryfikacji aktywnych portów UDP. Proponowany atak umożliwia podstawianie fikcyjnych danych w pamięci podręcznej serwera DNS, który może służyć do sfałszowania adresu IP dowolnej domeny w pamięci podręcznej i przekierowywania wywołań do domeny na serwer atakującego.
Proponowana metoda działa tylko na stosie sieciowym Linux Ze względu na połączenie ze specyfiką mechanizmu przetwarzania pakietów ICMP w systemie Linux działa jako źródło wycieków danych, które ułatwiają określenie numeru portu UDP używanego przez serwer do wysyłania żądania zewnętrznego.
Według badaczy, którzy zidentyfikowali problem, luka dotyczy około 38% otwartych solverów w sieci, w tym popularne usługi DNS jak OpenDNS i Quad9 (9.9.9.9). W przypadku oprogramowania serwerowego atak można przeprowadzić za pomocą pakietów typu BIND, Unbound i dnsmasq na serwerze z systemem Linux. Serwery DNS działające w systemach Windows i BSD nie wykazują problemu. Aby pomyślnie zakończyć atak, należy użyć fałszowania adresów IP. Należy upewnić się, że dostawca usług internetowych atakującego nie blokuje pakietów ze sfałszowanym źródłowym adresem IP.
Przypominamy, że atak SAD DNS pozwala ominąć dodatkową ochronę serwerów DNS w celu zablokowania klasycznej metody zatruwania pamięci podręcznej DNS zaproponowany w 2008 roku przez Dana Kaminsky'ego.
Metoda Kaminsky'ego manipuluje pomijalnym rozmiarem pola identyfikatora zapytania DNS, które ma tylko 16 bitów. Aby znaleźć prawidłowy identyfikator transakcji DNS potrzebny do sfałszowania nazwy hosta, po prostu wyślij około 7.000 żądań i zasymuluj około 140.000 XNUMX fałszywych odpowiedzi. Atak sprowadza się do wysłania do systemu dużej liczby fałszywych pakietów powiązanych z IP Rozpoznawanie DNS z różnymi identyfikatorami transakcji DNS.
Aby chronić się przed tego typu atakiem, Producenci serwerów DNS wdrożył losową dystrybucję numerów portów sieciowych źródło, z którego wysyłane są żądania rozwiązania, co kompensowało niewystarczająco duży rozmiar uchwytu. Po wdrożeniu zabezpieczenia wysyłania fikcyjnej odpowiedzi, oprócz wyboru identyfikatora 16-bitowego, konieczne stało się wybranie jednego z 64 tys. portów, co zwiększyło liczbę opcji wyboru do 2^ 32.
Metoda SAD DNS pozwala radykalnie uprościć określanie numeru portu sieciowego i ograniczyć ataki do klasycznej metody Kamińskiego. Atakujący może określić dostęp do aktywnych i nieużywanych portów UDP, wykorzystując ujawnione informacje o aktywności portów sieciowych podczas przetwarzania pakietów odpowiedzi ICMP.
Wyciek informacji, który pozwala szybko zidentyfikować aktywne porty UDP, jest spowodowany błędem w kodzie obsługującym pakiety ICMP z żądaniami fragmentacji (flaga wymagana fragmentacja ICMP) lub przekierowania (flaga przekierowania ICMP). Wysyłanie takich pakietów zmienia stan pamięci podręcznej na stosie sieciowym, umożliwiając na podstawie odpowiedzi serwera określenie, który port UDP jest aktywny, a który nie.
Zmiany blokujące wyciek informacji zostały zaakceptowane w jądrze Linuksa pod koniec sierpnia (Poprawka została uwzględniona w jądrach 5.15 i wrześniowych aktualizacjach gałęzi LTS jądra.) Rozwiązaniem jest przejście na używanie algorytmu haszującego SipHash w pamięciach podręcznych sieci zamiast Jenkins Hash.
Wreszcie, jeśli chcesz dowiedzieć się więcej na ten temat, możesz zapoznać się z szczegóły w poniższym linku.