En grupp forskare från University of California vid Riverside avslöjade Några dagar sedan en ny variant av SAD DNS-attacken som fungerar trots att skydd lades till förra året för att blockera sårbarheten CVE-2020-25705.
Den nya metoden är generellt liknar förra årets sårbarhet och skiljer sig endast genom att använda en annan typ av paket ICMP för att kontrollera aktiva UDP-portar. Den föreslagna attacken gör det möjligt att ersätta dummydata i cachen på en DNS-server, som kan användas för att förfalska IP-adressen för en godtycklig domän i cachen och omdirigera anrop till domänen till angriparens server.
Den föreslagna metoden kan endast användas på Linux-nätverksstacken. På grund av dess koppling till egenskaperna hos ICMP-paketbearbetningsmekanismen i Linux, fungerar den som en källa till dataläckor som gör det enkelt att bestämma UDP-portnumret som används av servern för att skicka en extern begäran.
Enligt forskarna som identifierade problemet, sårbarheten påverkar cirka 38 % av öppna lösare i nätverket, inklusive populära DNS-tjänster som OpenDNS och Quad9 (9.9.9.9). För serverprogramvara kan attacken utföras med paket som BIND, Unbound och dnsmasq på en Linux-server. DNS-servrar som körs på Windows- och BSD-system visar inte problemet. IP-spoofing måste användas för att framgångsrikt slutföra en attack. Det är nödvändigt att se till att paket med en falsk IP-adress inte blockeras av angriparens internetleverantör.
Som en påminnelse, attacken SAD DNS tillåter bypass-skydd som läggs till DNS-servrar för att blockera den klassiska DNS-cacheförgiftningsmetoden föreslog 2008 av Dan Kaminsky.
Kaminskys metod manipulerar den försumbara storleken på DNS-fråge-id-fältet, som bara är 16 bitar. För att hitta rätt DNS-transaktionsidentifierare som behövs för att förfalska värdnamnet räcker det att skicka cirka 7.000 140.000 förfrågningar och simulera cirka XNUMX XNUMX falska svar. Attacken går ut på att skicka ett stort antal falska IP-länkade paket till systemet DNS-upplösare med olika DNS-transaktionsidentifierare.
För att skydda mot denna typ av attack, DNS-servertillverkare implementerat en slumpmässig distribution av nätverksportnummer ursprung från vilket resolutionsförfrågningar skickas, vilket kompenserade för den otillräckligt stora identifierarstorleken. Efter implementeringen av skyddet för att skicka ett dummysvar, utöver valet av en 16-bitars identifierare, blev det nödvändigt att välja en av 64 tusen portar, vilket ökade antalet alternativ för val till 2 ^ 32.
Metoden SAD DNS gör det möjligt att radikalt förenkla bestämningen av nätverksportnumret och minska attacken till den klassiska Kaminskymetoden. En angripare kan fastställa åtkomst till aktiva och oanvända UDP-portar genom att dra fördel av läckt information om nätverksportaktivitet vid bearbetning av ICMP-svarspaket.
Informationsläckan som gör att du snabbt kan identifiera aktiva UDP-portar beror på ett misslyckande i koden för att hantera ICMP-paket med begäranden om fragmentering (ICMP-fragmentering krävs flagga) eller omdirigering (ICMP-omdirigeringsflagga). Att skicka sådana paket ändrar cache-tillståndet i nätverksstacken, vilket gör det möjligt, baserat på serverns svar, att avgöra vilken UDP-port som är aktiv och vilken som inte är det.
Ändringar som blockerar informationsläckage accepterades i Linux-kärnan i slutet av augusti (Rättelsen inkluderades i kärnan 5.15 och septemberuppdateringarna av LTS-kärngrenarna.) Lösningen är att gå över till att använda SipHash-hashalgoritmen i nätverkscachar istället för Jenkins Hash.
Slutligen, om du är intresserad av att veta mer om det, kan du konsultera detaljer i följande länk.