Уязвимости в Dnsmasq позволяют осуществлять атаку «отравление кеша DNS»
20 января 2021 года
Специалисты израильской ИБ-компании JSOF обнаружили в популярном ПО Dnsmasq ряд уязвимостей, позволяющих осуществлять атаку «отравление кеша DNS» (DNS cache poisoning) и удаленно выполнять произвольный код.
Dnsmasq (сокращенно от DNS masquerade – маскировка DNS) представляет собой легковесную программу с открытым исходным кодом для кеширования DNS-ответов. С помощью функции переадресации DNS она локально кеширует записи DNS, тем самым снижая нагрузку на вышестоящие DNS-серверы и повышая производительность. По данным JSOF, по состоянию на сентябрь 2020 года насчитывалось порядка 1 млн уязвимых установок Dnsmasq на Android-устройствах, маршрутизаторах и других сетевых устройствах от Cisco, Aruba, Technicolor, Redhat, Siemens, Ubiquiti и Comcast.
В общей сложности исследователи выявили в ПО Dnsmasq семь уязвимостей, объединенных под названием DNSpooq.
«Мы обнаружили, что Dnsmasq уязвимо к атакам отравления кеша DNS, которые может осуществить атакующий, находящийся вне пути (то есть, атакующий, которому не видно соединение между перенаправляющим DNS-сервером и (вышестоящим – ред.) DNS-сервером). Наша атака позволяет отравить сразу множество доменных имен одновременно и является результатом нескольких обнаруженных нами уязвимостей. Атака может быть успешно выполнена за несколько секунд или минут и не требует особых условий. Мы также обнаружили, что многие установки Dnsmasq неправильно сконфигурированы и слушают WAN-интерфейс, что позволяет осуществлять атаку непосредственно из интернета», - сообщили исследователи.
Описанные специалистами JSOF атаки отравления кеша DNS очень напоминают атаку SAD DNS с использованием уязвимостей CVE-2020-25684, CVE-2020-25685 и CVE-2020-25686, затрагивающих версии Dnsmasq от 2.78 до 2.82.
Остальные четыре обнаруженные исследователями проблемы представляют собой уязвимости переполнения буфера и позволяют удаленно выполнить на уязвимом устройстве произвольный код.
«Сами по себе уязвимости представляют ограниченный риск, но могут стать намного опаснее, если их объединить с уязвимостями отравления кеша для осуществления мощной атаки, позволяющей удаленное выполнение кода», - пояснили исследователи.
Что еще хуже, уязвимости могут быть связаны с другими сетевыми атаками, такими как SAD DNS и NAT Slipstreaming, для организации многоэтапных атак на резолверы Dnsmasq, прослушивающие порт 53. Даже установки, настроенные только на прослушивание подключений из внутренней сети, подвержены риску, если вредоносный код будет передаваться через web-браузеры или другие зараженные устройства в той же сети.
Все уязвимости были исправлены в версии Dnsmasq 2.83, и пользователям настоятельно рекомендуется установить ее во избежание возможных кибератак.
Источники править
Эта статья содержит материалы из статьи «Уязвимости в Dnsmasq позволяют осуществлять атаку «отравление кеша DNS»», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.