Um grupo de pesquisadores da Universidade da Califórnia em Riverside divulgou faz alguns dias uma nova variante do ataque SAD DNS que funciona apesar da proteção adicionada no ano passado para bloquear a vulnerabilidade CVE-2020-25705.
O novo método é geralmente semelhante à vulnerabilidade do ano passado e apenas diferenciada pelo uso de um tipo diferente de pacotes ICMP para verificar as portas UDP ativas. O ataque proposto torna possível substituir dados fictícios no cache de um servidor DNS, que pode ser usado para falsificar o endereço IP de um domínio arbitrário no cache e redirecionar chamadas ao domínio para o servidor do invasor.
O método proposto é operável apenas na pilha de rede Linux Devido à sua conexão com as peculiaridades do mecanismo de processamento de pacotes ICMP no Linux, ele atua como uma fonte de vazamentos de dados que simplificam a determinação do número da porta UDP utilizada pelo servidor para enviar uma solicitação externa.
De acordo com os pesquisadores que identificaram o problema, a vulnerabilidade afeta aproximadamente 38% dos solucionadores abertos na rede, incluindo serviços DNS populares como OpenDNS e Quad9 (9.9.9.9). Para software de servidor, o ataque pode ser realizado usando pacotes como BIND, Unbound e dnsmasq em um servidor Linux. Os servidores DNS em execução em sistemas Windows e BSD não mostram o problema. A falsificação de IP deve ser usada para concluir um ataque com êxito. É necessário garantir que o ISP do invasor não bloqueie pacotes com um endereço IP de origem falsificado.
Como um lembrete, o ataque SAD DNS permite proteção de desvio adicionada a servidores DNS para bloquear método clássico de envenenamento de cache DNS proposto em 2008 por Dan Kaminsky.
O método de Kaminsky manipula o tamanho insignificante do campo de ID de consulta DNS, que é de apenas 16 bits. Para encontrar o identificador de transação DNS correto necessário para falsificar o nome do host, basta enviar cerca de 7.000 solicitações e simular cerca de 140.000 respostas falsas. O ataque se resume a enviar um grande número de pacotes falsos vinculados a IP para o sistema Resolução DNS com diferentes identificadores de transação DNS.
Para se proteger contra esse tipo de ataque, Fabricantes de servidores DNS implementou uma distribuição aleatória de números de porta de rede fonte da qual as solicitações de resolução são enviadas, o que compensou o tamanho do identificador insuficientemente grande. Após a implementação da proteção para envio de resposta fictícia, além da seleção de um identificador de 16 bits, foi necessário selecionar uma das 64 mil portas, o que aumentou o número de opções de seleção para 2 ^ 32.
O método O SAD DNS permite simplificar radicalmente a determinação do número da porta da rede e reduzir o ataque ao método clássico de Kaminsky. Um invasor pode determinar o acesso a portas UDP ativas e não utilizadas tirando proveito das informações vazadas sobre a atividade da porta de rede ao processar pacotes de resposta ICMP.
O vazamento de informações que permite que você identifique rapidamente as portas UDP ativas se deve a uma falha no código para lidar com pacotes ICMP com solicitações de fragmentação (sinalizador de fragmentação ICMP necessária) ou redirecionamento (sinalizador de redirecionamento ICMP). O envio desses pacotes altera o estado do cache na pilha da rede, possibilitando, com base na resposta do servidor, determinar qual porta UDP está ativa e qual não.
Mudanças que bloqueiam o vazamento de informações foram aceitas no kernel do Linux no final de agosto (A correção foi incluída no kernel 5.15 e atualizações de setembro dos ramos LTS do kernel.) A solução é passar a usar o algoritmo de hash SipHash em caches de rede em vez do Jenkins Hash.
Por fim, se você estiver interessado em saber mais sobre o assunto, pode consultar o detalhes no link a seguir.