Skupina raziskovalcev s Kalifornijske univerze v Riversideu je objavila Pred nekaj dnevi nova različica napada SAD DNS ki deluje kljub lani dodani zaščiti za blokiranje ranljivost CVE-2020-25705.
Nova metoda je na splošno podobno kot lanska ranljivost in se razlikuje le po uporabi drugačne vrste paketov ICMP za preverjanje aktivnih vrat UDP. Predlagani napad omogoča zamenjavo lažnih podatkov v predpomnilniku strežnika DNS, ki se lahko uporablja za ponarejanje naslova IP poljubne domene v predpomnilniku in preusmeritev klicev v domeno na napadalčev strežnik.
Predlagana metoda je uporabna samo v omrežnem skladu Linux Zaradi svoje povezave s posebnostmi mehanizma za obdelavo paketov ICMP v Linuxu deluje kot vir uhajanja podatkov, ki poenostavlja določanje številke vrat UDP, ki jih uporablja strežnik za pošiljanje zunanje zahteve.
Po mnenju raziskovalcev, ki so ugotovili težavo, ranljivost prizadene približno 38 % odprtih reševalcev v omrežju, vključno s priljubljenimi storitvami DNS kot sta OpenDNS in Quad9 (9.9.9.9). Za strežniško programsko opremo je napad mogoče izvesti s paketi, kot so BIND, Unbound in dnsmasq na strežniku Linux. Strežniki DNS, ki delujejo v sistemih Windows in BSD, ne kažejo težave. Za uspešen zaključek napada je treba uporabiti ponarejanje IP-ja. Zagotoviti je treba, da napadalčev ponudnik internetnih storitev ne blokira paketov s ponarejenim izvornim naslovom IP.
Spomnimo, napad SAD DNS omogoča izogibanje dodani zaščiti strežnikov DNS za blokiranje klasične metode zastrupitve predpomnilnika DNS ki ga je leta 2008 predlagal Dan Kaminsky.
Metoda Kaminskyja manipulira z zanemarljivo velikostjo polja ID poizvedbe DNS, ki je samo 16 bitov. Če želite poiskati pravilen identifikator transakcije DNS, ki je potreben za ponarejanje imena gostitelja, pošljite približno 7.000 zahtev in simulirajte približno 140.000 lažnih odgovorov. Napad se zmanjša na pošiljanje velikega števila lažnih IP-vezanih paketov v sistem Ločljivost DNS z različnimi identifikatorji transakcij DNS.
Za zaščito pred tovrstnim napadom, Proizvajalci strežnikov DNS implementirali naključno porazdelitev številk omrežnih vrat vir, iz katerega se pošiljajo zahteve za razrešitev, kar je nadomestilo premalo veliko velikost identifikatorja. Po implementaciji zaščite za pošiljanje fiktivnega odgovora je bilo poleg izbire 16-bitnega identifikatorja potrebno izbrati eno od 64 tisoč vrat, kar je povečalo število možnosti izbire na 2 ^ 32.
Metoda SAD DNS vam omogoča radikalno poenostavitev določanja številk omrežnih vrat in zmanjšanje napadov na klasično metodo Kaminskega. Napadalec lahko določi dostop do neuporabljenih in aktivnih vrat UDP tako, da pri obdelavi odzivnih paketov ICMP izkoristi razkrite informacije o aktivnosti omrežnih vrat.
Uhajanje informacij, ki vam omogoča hitro prepoznavanje aktivnih vrat UDP, je posledica napake v kodi za obdelavo paketov ICMP z zahtevami za razdrobljenost (zastavica zahteva razdrobljenost ICMP) ali preusmeritev (zastavica za preusmeritev ICMP). Pošiljanje takšnih paketov spremeni stanje predpomnilnika v omrežnem skladu, kar omogoča, da se na podlagi odziva strežnika določi, katera vrata UDP so aktivna in katera ne.
Spremembe, ki blokirajo uhajanje informacij, so bile sprejete v jedro Linuxa konec avgusta (Popravek je bil vključen v jedro 5.15 in septembrske posodobitve vej LTS jedra.) Rešitev je preklop na uporabo algoritma razprševanja SipHash v omrežnih predpomnilnikih namesto na Jenkins Hash.
Nazadnje, če vas zanima več o tem, se lahko obrnete na podrobnosti na naslednji povezavi.