Группа исследователей из Калифорнийского университета в Риверсайде опубликовала Несколько дней тому назад новый вариант атаки SAD DNS который работает, несмотря на добавленную в прошлом году защиту для блокировки уязвимость CVE-2020-25705.
Новый метод обычно аналогична прошлогодней уязвимости и отличается только использованием пакетов другого типа ICMP для проверки активных портов UDP. Предлагаемая атака позволяет подставлять фиктивные данные в кеш DNS-сервера, который может использоваться для подмены IP-адреса произвольного домена в кеше и перенаправления вызовов этого домена на сервер злоумышленника.
Предлагаемый метод работает только в сетевом стеке Linux. Из-за своей связи с особенностями механизма обработки пакетов ICMP в Linux, он действует как источник утечек данных, упрощающих определение номера порта UDP, используемого сервером для отправки внешнего запроса.
По словам исследователей, выявивших проблему, уязвимость затрагивает примерно 38% открытых решателей в сети, в том числе популярные DNS-сервисы как OpenDNS и Quad9 (9.9.9.9). Для серверного программного обеспечения атака может быть проведена с использованием таких пакетов, как BIND, Unbound и dnsmasq на сервере Linux. DNS-серверы, работающие в системах Windows и BSD, не обнаруживают проблемы. Для успешного завершения атаки необходимо использовать подмену IP-адреса. Необходимо убедиться, что интернет-провайдер злоумышленника не блокирует пакеты с поддельным исходным IP-адресом.
Напоминаем, что атака SAD DNS позволяет обходить защиту, добавленную к DNS-серверам, чтобы блокировать классический метод отравления DNS-кеша предложенный в 2008 году Дэном Камински.
Метод Каминского манипулирует ничтожно малым размером поля идентификатора запроса DNS, которое составляет всего 16 бит. Чтобы найти правильный идентификатор транзакции DNS, необходимый для подделки имени хоста, просто отправьте около 7.000 запросов и смоделируйте около 140.000 поддельных ответов. Атака сводится к отправке в систему большого количества поддельных IP-пакетов. Преобразователь DNS с разными идентификаторами транзакций DNS.
Чтобы защититься от этого типа атак, Производители DNS-серверов реализовано случайное распределение номеров сетевых портов источник, из которого отправляются запросы на разрешение, что компенсировало недостаточно большой размер идентификатора. После реализации защиты от отправки фиктивного ответа, помимо выбора 16-битного идентификатора, возникла необходимость выбрать один из 64 тысяч портов, что увеличило количество вариантов выбора до 2 ^ 32.
Метод SAD DNS позволяет радикально упростить определение номера сетевого порта и уменьшить количество атак классическому методу Каминского. Злоумышленник может определить доступ к неиспользуемым и активным портам UDP, воспользовавшись утечкой информации об активности сетевого порта при обработке пакетов ответов ICMP.
Утечка информации, которая позволяет быстро идентифицировать активные порты UDP, происходит из-за недостатка в коде для обработки пакетов ICMP с фрагментацией (флаг необходимости фрагментации ICMP) или перенаправлением (флаг перенаправления ICMP) запросами. Отправка таких пакетов изменяет состояние кеша в сетевом стеке, позволяя на основе ответа сервера определить, какой порт UDP активен, а какой нет.
Изменения, блокирующие утечку информации, были приняты в ядро Linux в конце августа. (Исправление было включено в ядро 5.15 и сентябрьские обновления LTS-веток ядра.) Решение - перейти на использование хеш-алгоритма SipHash в сетевых кешах вместо Jenkins Hash.
Наконец, если вам интересно узнать об этом больше, вы можете проконсультироваться с подробности по следующей ссылке.