Un grup de cercetători de la Universitatea din California din Riverside a lansat Acum câteva zile o nouă variantă a atacului SAD DNS care funcționează în ciuda protecției adăugate anul trecut pentru a bloca vulnerabilitatea CVE-2020-25705.
Noua metodă este în general similar cu vulnerabilitatea de anul trecut și diferențiat doar prin utilizarea unui alt tip de pachete ICMP pentru a verifica porturile UDP active. Atacul propus face posibilă înlocuirea datelor fictive în memoria cache a unui server DNS, care poate fi folosit pentru a falsifica adresa IP a unui domeniu arbitrar din cache și pentru a redirecționa apelurile către domeniu către serverul atacatorului.
Metoda propusă este operabilă numai pe stiva de rețea Linux Datorită conexiunii sale la particularitățile mecanismului de procesare a pachetelor ICMP din Linux, acesta acționează ca o sursă de scurgeri de date care simplifică determinarea numărului de port UDP utilizat de server pentru a trimite o solicitare externă.
Potrivit cercetătorilor care au identificat problema, vulnerabilitatea afectează aproximativ 38% dintre soluțiile deschise din rețea, inclusiv servicii DNS populare precum OpenDNS și Quad9 (9.9.9.9). Pentru software-ul de server, atacul poate fi efectuat folosind pachete precum BIND, Unbound și dnsmasq pe un server Linux. Serverele DNS care rulează pe sistemele Windows și BSD nu arată problema. Falsificarea IP trebuie utilizată pentru a finaliza cu succes un atac. Este necesar să vă asigurați că ISP-ul atacatorului nu blochează pachetele cu o adresă IP sursă falsificată.
Ca reamintire, atacul SAD DNS permite ocolirea protecției adăugate pentru serverele DNS pentru a bloca metoda clasică de intoxicație a cache-ului DNS propusă în 2008 de Dan Kaminsky.
Metoda lui Kaminsky manipulează dimensiunea neglijabilă a câmpului ID de interogare DNS, care este de numai 16 biți. Pentru a găsi identificatorul corect de tranzacție DNS necesar pentru falsificarea numelui gazdei, trebuie doar să trimiteți aproximativ 7.000 de solicitări și să simulați aproximativ 140.000 de răspunsuri false. Atacul se rezumă la trimiterea unui număr mare de pachete false legate de IP către sistem Rezoluție DNS cu diferiți identificatori de tranzacție DNS.
Pentru a vă proteja împotriva acestui tip de atac, Producători de servere DNS a implementat o distribuție aleatorie a numerelor de porturi de rețea sursa din care sunt trimise cererile de rezoluție, care a compensat dimensiunea insuficient de mare a mânerului. După implementarea protecției pentru trimiterea unui răspuns fictiv, pe lângă selecția unui identificator de 16 biți, a devenit necesară selectarea unuia dintre cele 64 de mii de porturi, ceea ce a crescut numărul de opțiuni pentru selecție la 2 ^ 32.
Metoda SAD DNS vă permite să simplificați radical determinarea numărului de porturi de rețea și să reduceți atacurile la metoda clasică a lui Kaminsky. Un atacator poate determina accesul la porturile UDP active și neutilizate profitând de informațiile scurse despre activitatea portului de rețea atunci când procesează pachetele de răspuns ICMP.
Scurgerea de informații care vă permite să identificați rapid porturile UDP active se datorează unei defecțiuni în codul de a gestiona pachetele ICMP cu solicitări de fragmentare (indicator de fragmentare ICMP necesară) sau de redirecționare (steagul de redirecționare ICMP). Trimiterea unor astfel de pachete modifică starea cache-ului din stiva de rețea, făcând posibilă, pe baza răspunsului serverului, să se determine care port UDP este activ și care nu.
Modificările care blochează scurgerea de informații au fost acceptate în nucleul Linux la sfârșitul lunii august (Remedierea a fost inclusă în actualizările nucleului 5.15 și septembrie ale ramurilor LTS ale nucleului.) Soluția este să treceți la utilizarea algoritmului de hash SipHash în cache-urile de rețea în loc de Jenkins Hash.
În cele din urmă, dacă sunteți interesat să aflați mai multe despre aceasta, puteți consulta detalii în următorul link.