Các nhà nghiên cứu an ninh mạng đã phát hiện ra nhiều lỗ hổng trong Dnsmasq, một phần mềm mã nguồn mở phổ biến được sử dụng để lưu vào bộ đệm các phản hồi của Hệ thống tên miền (DNS), do đó có khả năng cho phép kẻ thù gắn kết DNS tấn công nhiễm độc bộ nhớ cache và thực thi mã độc từ xa.
Các lỗ hổng, được gọi chung là “DNSpooq” của công ty nghiên cứu JSOF của Israel, lặp lại những điểm yếu đã được tiết lộ trước đây trong kiến trúc DNS, khiến máy chủ Dnsmasq bất lực trước hàng loạt cuộc tấn công.
Các nhà nghiên cứu lưu ý trong một báo cáo: “Chúng tôi nhận thấy rằng Dnsmasq dễ bị tấn công nhiễm độc bộ nhớ cache DNS bởi kẻ tấn công ngoài đường dẫn (tức là kẻ tấn công không quan sát giao tiếp giữa trình chuyển tiếp DNS và máy chủ DNS)” được phát hành hôm nay.
“Cuộc tấn công của chúng tôi cho phép đầu độc nhiều tên miền cùng một lúc và là kết quả của một số lỗ hổng được tìm thấy. Cuộc tấn công có thể được hoàn thành thành công trong vài giây hoặc vài phút và không có yêu cầu đặc biệt. Chúng tôi cũng nhận thấy rằng nhiều trường hợp Dnsmasq bị định cấu hình sai để lắng nghe trên giao diện WAN, làm cho cuộc tấn công có thể trực tiếp từ Internet. “
Dnsmasq, viết tắt của Lễ hội hóa trang DNS, là một phần mềm nhẹ để cung cấp bộ nhớ đệm DNS cục bộ, do đó giảm tải cho máy chủ định danh ngược dòng và cải thiện hiệu suất.
Tính đến tháng 9 năm 2020, có khoảng 1 triệu trường hợp Dnsmasq dễ bị tấn công, JSOF tìm thấy, với người dùng nổi bật là bộ định tuyến Cisco, điện thoại thông minh Android, Aruba, Technicolor, Redhat, Siemens, Ubiquiti và Comcast.
Xem lại Kaminsky Attack và SAD DNS
Khái niệm nhiễm độc bộ nhớ cache DNS không phải là mới.
Năm 2008, nhà nghiên cứu bảo mật Dan Kaminsky đã trình bày những phát hiện của mình về một lỗ hổng DNS phổ biến và nghiêm trọng cho phép những kẻ tấn công thực hiện các cuộc tấn công nhiễm độc bộ nhớ cache chống lại hầu hết các máy chủ định danh.
Nó khai thác một cơ bản lỗi thiết kế trong DNS – chỉ có thể có 65.536 ID giao dịch có thể có (TXID) – để làm ngập máy chủ DNS với các phản hồi giả mạo, sau đó được lưu vào bộ nhớ đệm và tận dụng để chuyển người dùng đến các trang web lừa đảo.
ID giao dịch đã được giới thiệu như một cơ chế để ngăn chặn khả năng máy chủ định danh có thẩm quyền có thể bị mạo danh để tạo ra các phản hồi độc hại. Với thiết lập mới này, các trình phân giải DNS đã đính kèm một ID 16-bit cho các yêu cầu của họ tới các máy chủ định danh, sau đó sẽ gửi lại phản hồi với cùng một ID.
Nhưng hạn chế trong ID giao dịch có nghĩa là bất cứ khi nào trình phân giải đệ quy truy vấn máy chủ định danh có thẩm quyền cho một miền nhất định (ví dụ: www.google.com), kẻ tấn công có thể làm ngập trình phân giải bằng các phản hồi DNS cho một số hoặc tất cả 65 nghìn hoặc lâu hơn có thể ID giao dịch.
Nếu câu trả lời độc hại với đúng ID giao dịch từ kẻ tấn công đến trước phản hồi từ máy chủ có thẩm quyền, thì bộ đệm DNS sẽ bị nhiễm độc một cách hiệu quả, trả lại địa chỉ IP đã chọn của kẻ tấn công thay vì địa chỉ hợp pháp miễn là phản hồi DNS hợp lệ .
Cuộc tấn công bắt nguồn từ thực tế là toàn bộ quá trình tra cứu không được xác thực, có nghĩa là không có cách nào để xác minh danh tính của máy chủ có thẩm quyền và các yêu cầu và phản hồi DNS sử dụng UDP (Giao thức dữ liệu người dùng) thay vì TCP, do đó làm cho nó dễ dàng giả mạo các câu trả lời.
Để giải quyết vấn đề, một cổng UDP ngẫu nhiên đã được sử dụng làm mã nhận dạng thứ hai cùng với ID giao dịch, trái ngược với việc chỉ sử dụng cổng 53 để tra cứu và phản hồi DNS, do đó nâng entropy lên theo thứ tự hàng tỷ và khiến kẻ tấn công không thể thực hiện được. để đoán sự kết hợp chính xác của cổng nguồn và ID giao dịch.
Mặc dù hiệu quả của các cuộc tấn công nhiễm độc bộ nhớ cache đã bị ảnh hưởng do ngẫu nhiên hóa cổng nguồn (SPR) nói trên và các giao thức như DNSSEC (Tiện ích mở rộng bảo mật hệ thống tên miền), các nhà nghiên cứu vào tháng 11 năm ngoái đã tìm thấy một kênh phụ “mới lạ” để đánh bại sự ngẫu nhiên bằng cách sử dụng giới hạn tỷ lệ ICMP làm kênh phụ để tiết lộ liệu một cổng nhất định có đang mở hay không.
Các cuộc tấn công – được đặt tên là “DNS SAD“hoặc AttackeD DNS kênh bên – liên quan đến việc gửi một loạt các gói UDP giả mạo đến một trình phân giải DNS, mỗi gói được gửi qua một cổng khác nhau và sau đó sử dụng ICMP Thông báo “Cổng không thể truy cập” (hoặc thiếu) như một chỉ báo để phân biệt nếu giới hạn tốc độ đã được đáp ứng và cuối cùng thu hẹp cổng nguồn chính xác mà từ đó yêu cầu bắt nguồn.
Gắn kết các cuộc tấn công nhiều giai đoạn cho phép tiếp quản thiết bị
Điều thú vị là, các cuộc tấn công nhiễm độc bộ nhớ cache DNS được JSOF trình bày chi tiết có những điểm tương đồng với SAD DNS ở chỗ ba lỗ hổng (CVE-2020-25684, CVE-2020-25685 và CVE-2020-25686) nhằm mục đích giảm entropy của ID giao dịch và cổng nguồn được yêu cầu để phản hồi được chấp nhận.
Cụ thể, các nhà nghiên cứu lưu ý rằng mặc dù hỗ trợ SPR của Dnsmasq, nó “ghép nhiều TXID trên cùng một cổng và không liên kết từng cổng với các TXID cụ thể” và thuật toán CRC32 được sử dụng để ngăn chặn giả mạo DNS có thể bị đánh bại một cách đáng tiếc, dẫn đến một kịch bản trong đó “kẻ tấn công cần phải có được bất kỳ cổng nào đúng và bất kỳ một trong các TXID nào đúng.”
Dnsmasq phiên bản 2.78 đến 2.82 đều bị ảnh hưởng bởi ba lỗ hổng.
Bốn lỗ hổng khác được tiết lộ bởi JSOF là lỗi tràn bộ đệm dựa trên heap, có thể dẫn đến khả năng thực thi mã từ xa trên thiết bị dễ bị tấn công.
Các nhà nghiên cứu cho biết: “Những lỗ hổng này, tự bản thân chúng, sẽ có rủi ro hạn chế, nhưng trở nên đặc biệt mạnh mẽ vì chúng có thể được kết hợp với các lỗ hổng nhiễm độc bộ nhớ cache để tạo ra một cuộc tấn công mạnh mẽ, cho phép thực thi mã từ xa”.
Thậm chí tệ hơn, những điểm yếu này có thể được xâu chuỗi với các cuộc tấn công mạng khác như DNS SAD và NAT Slipstreaming để gắn kết các cuộc tấn công nhiều giai đoạn chống lại các trình phân giải Dnsmasq đang lắng nghe trên cổng 53 và thậm chí cả những người được cấu hình để chỉ lắng nghe các kết nối nhận được từ bên trong mạng nội bộ.
Bên cạnh việc khiến chúng dễ bị nhiễm độc bộ nhớ cache, các cuộc tấn công cũng có thể cho phép kẻ xấu chiếm quyền kiểm soát bộ định tuyến và thiết bị mạng, tấn công từ chối dịch vụ (DDoS) phân tán theo giai đoạn bằng cách chuyển lưu lượng truy cập đến một miền độc hại và thậm chí ngăn người dùng truy cập các trang web hợp pháp (DDoS đảo ngược).
Các nhà nghiên cứu cũng nêu ra khả năng xảy ra một “cuộc tấn công có thể sâu” trong đó các thiết bị di động được kết nối với mạng sử dụng máy chủ Dnsmasq bị nhiễm sẽ nhận được một bản ghi DNS xấu và sau đó được sử dụng để lây nhiễm một mạng mới khi kết nối với nó.
Cập nhật Dnsmasq lên 2.83
Người dùng rất nên cập nhật phần mềm Dnsmasq của họ lên phiên bản mới nhất (2,83 trở lên) để giảm thiểu rủi ro.
Để giải quyết vấn đề, các nhà nghiên cứu đề xuất giảm số lượng truy vấn tối đa được phép chuyển tiếp, cũng như dựa vào DNS-over-HTTPS (DoH) hoặc DNS-over-TLS (DoT) để kết nối với máy chủ ngược dòng.
“DNS là một giao thức quan trọng trên Internet có ảnh hưởng lớn đến bảo mật[s] Các nhà nghiên cứu kết luận: “Những vấn đề này khiến các thiết bị mạng có nguy cơ bị xâm phạm và ảnh hưởng đến hàng triệu người dùng Internet, vốn có thể bị tấn công nhiễm độc bộ nhớ cache.
“Điểm nổi bật này[s] tầm quan trọng của bảo mật DNS nói chung và bảo mật của các bộ chuyển tiếp DNS nói riêng. Nó cũng nhấn mạnh sự cần thiết phải đẩy nhanh việc triển khai các biện pháp bảo mật DNS như DNSSEC, bảo mật truyền tải DNS và cookie DNS. “
