共计 2474 个字符,预计需要花费 7 分钟才能阅读完成。
网络安全钻研人员在 Dnsmasq 发现了 7 个破绽,这是一个风行的开源软件服务器,用于缓存域名零碎(DNS)响应。
这 7 个破绽被以色列钻研公司 JSOF 统称为“DNSpooq”,与之前披露的 DNS 架构的弱点相响应,使得 Dnsmasq 服务器无奈抵挡一系列攻打。歹意攻击者能够发动 DNS 缓存中毒攻打并近程执行恶意代码。
钻研人员在明天发表的一份报告中指出:“咱们发现,Dnsmasq 很容易受到偏离门路攻击者(也就是没有察看到 DNS 转发器与 DNS 服务器之间通信的攻击者)的 DNS 缓存中毒攻打。”
因为这 7 个破绽,攻击者能够在几秒钟到几分钟的工夫内同时攻打多个域名,而且没有任何非凡操作。此外,平安钻研人员还发现,Dnsmasq 的许多实例被谬误地配置为侦听 WAN 接口,黑客能够间接发动网络攻击。
Dnsmasq 是 DNS 假装的缩写,是一个轻量级软件,具备 DNS 转发性能,用于本地缓存 DNS 记录,从而缩小了上游名称服务器的负载,进步了性能。
JSOF 发现,截至 2020 年 9 月,大概有 100 万个 Dnsmasq 破绽实例,该软件蕴含在 Android 智能手机中,以及数百万个来自 Cisco、Aruba、Technicolor、Redhat、Siemens、Ubiquiti 和 Comcast 的路由器和其余网络设备。
再论 Kaminsky 攻打和 SAD DNS
DNS 缓存中毒的概念并不陈腐,2008 年,平安研究员 Dan Kaminsky 提出了他的发现,该发现是一个宽泛而要害的 DNS 破绽,攻击者能够利用该破绽对大多数域名服务器发动缓存中毒攻打。
它利用了 DNS 的一个根本设计缺点(可能只有 65,536 个可能的交易 ID“TXID”),向 DNS 服务器发送大量伪造的响应,而后将其缓存起来,并利用这些响应将用户引向欺诈网站。
引入事务 ID 是为了避免权威命名服务器被模仿以制作歹意响应的可能性。通过这种新的设置,DNS 解析器将一个 16 位的 ID 附加到他们的申请到名称服务器,而后名称服务器将返回具备雷同 ID 的响应。
然而事务 ID 的限度意味着每当递归解析器查问给定域名的权威解析器(例如,www.google. com) 时,攻击者可能会向解析器发送局部或全副 6.5 万个左右可能的事务 ID 的 DNS 响应。
如果来自攻击者的带有正确事务 ID 的歹意应答在来自权威服务器的响应之前达到,那么 DNS 缓存将被无效地毒化,只有 DNS 响应无效,就返回攻击者抉择的 IP 地址而不是非法地址。
这种攻打是基于整个查找过程未经身份验证这一事实,这意味着没有方法验证权威服务器的身份,而且 DNS 申请和响应应用 UDP(用户数据报协定协定)而不是 TCP,因而很容易坑骗响应。
为了解决这个问题,一个随机的 UDP 端口和事务 ID 一起被用作第二个标识符,而不是仅仅应用端口 53 进行 DNS 查找和响应,从而减少了数十亿的均匀信息量,使攻击者简直无奈猜想源端口和事务 ID 的正确组合。
只管因为后面提到的源端口随机化(SPR)和诸如 DNSSEC(域名系统安全扩大)之类的协定,缓存中毒攻打的有效性受到了打击,但钻研人员于去年 11 月发现了一种“新鲜的”侧信道,通过应用 ICMP 速率限度作为侧信道来揭示给定的端口是否关上。
这些攻打称为“SAD DNS”或侧信道攻打 DNS,包含向 DNS 解析器发送大量坑骗式 UDP 数据包,每个数据包通过不同的端口发送,而后应用 ICMP“Port Unreachable”音讯(或短少该音讯)作为辨认速率限度是否已达到的指标,并最终放大申请收回端口的确切起源。
容许设施接管的多阶段攻打
乏味的是,JSOF 具体介绍的 DNS 缓存中毒攻打与 SAD DNS 有相似之处,因为 CVE-2020-25684、CVE-2020-25685 和 CVE-2020-25686 三个破绽旨在缩小事务 ID 的均匀信息量和承受响应所需的源端口。
具体而言,钻研人员指出,只管 Dnsmasq 反对 SPR,但它“在一个端口上多路传输多个 TXID,并不将每个端口链接到具体的 TXID”,而且用于避免 DNS 坑骗的 CRC32 算法可能会被轻易地击败,导致呈现“攻击者须要取得任何一个正确的端口和任何一个正确的 TXID”的状况。
平安钻研人员发现,Dnsmasq 版本 2.78 到 2.82 都受这三个破绽的影响。
JSOF 颁布的其余四个破绽是基于堆的缓冲区溢出,这可能导致在易受攻击的设施上执行潜在的近程代码。
钻研人员说,“这些破绽自身的危险无限,但会变得特地弱小,因为它们能够与缓存中毒破绽联合起来,产生弱小的攻打,容许近程执行代码。”
更蹩脚的是,这些弱点能够与其余网络攻击链接起来,比方 SAD DNS 和 NAT 滑流,从而对监听端口 53 的 Dnsmasq 解析器发动多阶段攻打。如果恶意代码通过网络浏览器或同一网络上的其余受感化设施传输,那么即便是那些被配置为只侦听外部网络中接管到的连贯的恶意代码也会面临危险。
除了让它们容易受到高速缓存中毒的影响,这种攻打还能够让歹意攻击者管制路由器和网络设备,通过毁坏歹意域名的流量来施行分布式拒绝服务(DDoS)攻打,甚至阻止用户拜访非法网站(反向 DDoS)。
钻研人员还提出了“蠕虫攻打”的可能性,即挪动设施连贯到一个应用受感化的 Dnsmasq 服务器的网络,接管到一个谬误的 DNS 记录,而后在连贯到新网络时用于感化新网络。
如何加重 Dnsmasq 破绽的危险
平安钻研人员倡议供应商将他们的 Dnsmasq 软件降级到最新到 2.83 版本或以上以加重危险,这个版本将在明天晚些时候公布。
此外,钻研人员还提出了一种解决方案,倡议升高容许转发的最大查问数,并依附 DNS-over-HTTPS(DoH)或 DNS-over-TLS(DoT)连贯到上游服务器。
DNS 是一个互联网要害协定,其安全性极大地影响互联网用户的平安。这些问题使网络设备处于危险之中,影响到数以百万计的互联网用户,这些用户可能会受到域名服务器缓存中毒的影响。
这次发现的 7 个破绽也凸显了 DNS 平安的重要性,特地是 DNS 转发器的安全性。钻研人员强调了放慢部署 DNS 安全措施,如 DNSSEC、DNS 传输平安和 DNS Cookie 的必要性。