Група дослідників з Каліфорнійського університету в Ріверсайді повідомила про це Кілька днів тому новий варіант атаки SAD DNS який працює, незважаючи на захист, доданий минулого року для блокування вразливість CVE-2020-25705.
Новий метод загалом подібна до минулорічної вразливості та відрізняється лише використанням іншого типу пакетів ICMP для перевірки активних портів UDP. Запропонована атака дає можливість замінити фіктивні дані в кеші DNS-сервера, який можна використовувати для підробки IP-адреси довільного домену в кеші та перенаправлення викликів до домену на сервер зловмисника.
Запропонований метод працює тільки в мережевому стеку Linux Завдяки зв’язку з особливостями механізму обробки пакетів ICMP в Linux, він виступає як джерело витоку даних, що спрощує визначення номера порту UDP, який використовується сервером для відправки зовнішнього запиту.
За словами дослідників, які виявили проблему, вразливість зачіпає приблизно 38% відкритих вирішувачів у мережі, включаючи популярні служби DNS як OpenDNS і Quad9 (9.9.9.9). Для серверного програмного забезпечення атаку можна здійснити за допомогою таких пакетів, як BIND, Unbound та dnsmasq на сервері Linux. DNS-сервери, запущені в системах Windows і BSD, не показують проблему. Для успішного завершення атаки необхідно використовувати спуфінг IP. Необхідно переконатися, що провайдер зловмисника не блокує пакети з підробленою вихідною IP-адресою.
Нагадаємо, напад SAD DNS дозволяє обійти додатковий захист серверів DNS, щоб заблокувати класичний метод отруєння кешу DNS запропонований у 2008 році Деном Камінським.
Метод Камінського маніпулює мізерно малим розміром поля ідентифікатора запиту DNS, яке становить лише 16 біт. Щоб знайти правильний ідентифікатор транзакції DNS, необхідний для підробки імені хоста, просто надішліть близько 7.000 140.000 запитів і змоделюйте близько XNUMX XNUMX фальшивих відповідей. Атака зводиться до відправки в систему великої кількості підроблених IP-пакетів DNS-резольвер з різними ідентифікаторами транзакцій DNS.
Щоб захиститися від цього типу атак, Виробники DNS-серверів реалізовано випадковий розподіл номерів мережевих портів джерело, з якого надсилаються запити на дозвіл, що компенсує недостатньо великий розмір ідентифікатора. Після реалізації захисту для відправки фіктивної відповіді, крім вибору 16-бітового ідентифікатора, виникла необхідність вибрати один з 64 тисяч портів, що збільшило кількість варіантів вибору до 2 ^ 32.
Метод SAD DNS дозволяє радикально спростити визначення номера порту мережі та зменшити кількість атак до класичного методу Камінського. Зловмисник може визначити доступ до невикористаних і активних портів UDP, скориставшись перевагами витоку інформації про активність мережевого порту під час обробки пакетів відповіді ICMP.
Витік інформації, який дозволяє швидко ідентифікувати активні порти UDP, пов’язаний з недоліком коду для обробки ICMP-пакетів із запитами на фрагментацію (прапорець фрагментації ICMP) або перенаправлення (прапор переспрямування ICMP). Відправка таких пакетів змінює стан кешу в мережевому стеку, роблячи можливим на основі відповіді сервера визначити, який порт UDP активний, а який ні.
Зміни, які блокують витік інформації, були прийняті в ядро Linux наприкінці серпня (Виправлення було включено до ядра 5.15 і вересневих оновлень гілок ядра LTS.) Рішення полягає в тому, щоб перейти на використання алгоритму хешування SipHash в мережевих кешах замість Jenkins Hash.
Нарешті, якщо ви хочете дізнатись більше про це, ви можете проконсультуватися з подробиці за наступним посиланням.