Một nhóm các học giả từ Đại học California và Đại học Thanh Hoa đã phát hiện ra hàng loạt lỗi bảo mật nghiêm trọng có thể dẫn đến sự hồi sinh của các cuộc tấn công nhiễm độc bộ nhớ cache DNS.
Được mệnh danh là “SAD DNS tấn công“(viết tắt của Side-channel AttackeD DNS), kỹ thuật này giúp cho kẻ độc hại có thể thực hiện một cuộc tấn công ngoài đường dẫn, định tuyến lại bất kỳ lưu lượng truy cập nào ban đầu đến một miền cụ thể đến một máy chủ dưới sự kiểm soát của chúng, do đó cho phép chúng nghe trộm và làm xáo trộn thông tin liên lạc.
Các nhà nghiên cứu cho biết: “Điều này thể hiện một cột mốc quan trọng – cuộc tấn công kênh phía mạng có thể vũ khí hóa đầu tiên có ảnh hưởng nghiêm trọng đến bảo mật”. “Cuộc tấn công cho phép kẻ tấn công ngoài đường truyền đưa một bản ghi DNS độc hại vào bộ nhớ cache DNS.”
Được theo dõi là CVE-2020-25705, các phát hiện đã được trình bày tại Hội nghị ACM về Bảo mật Máy tính và Truyền thông (CCS ’20) được tổ chức trong tuần này.
Lỗ hổng này ảnh hưởng đến hệ điều hành Linux 3.18-5.10, Windows Server 2019 (phiên bản 1809) và mới hơn, macOS 10.15 trở lên và FreeBSD 12.1.0 trở lên.
DNS Forwarders trở thành bề mặt tấn công mới
Trình phân giải DNS thường lưu vào bộ nhớ cache các phản hồi đối với các truy vấn địa chỉ IP trong một khoảng thời gian cụ thể như một phương tiện để cải thiện hiệu suất phản hồi trong mạng. Nhưng chính cơ chế này có thể được khai thác để đầu độc bộ nhớ đệm bằng cách mạo danh các mục DNS địa chỉ IP cho một trang web nhất định và chuyển hướng người dùng đang cố truy cập trang web đó đến một trang web khác mà kẻ tấn công lựa chọn.
Tuy nhiên, hiệu quả của các cuộc tấn công như vậy đã bị ảnh hưởng một phần do các giao thức như DNSSEC (Tiện ích mở rộng bảo mật hệ thống tên miền) tạo ra tên miền an toàn hệ thống bằng cách thêm chữ ký mã hóa vào các bản ghi DNS hiện có và các biện pháp bảo vệ dựa trên ngẫu nhiên hóa cho phép trình phân giải DNS sử dụng một cổng nguồn và ID giao dịch (TxID) khác cho mọi truy vấn.
Lưu ý rằng hai biện pháp giảm thiểu vẫn còn lâu mới được triển khai rộng rãi vì lý do “khuyến khích và khả năng tương thích”, các nhà nghiên cứu cho biết họ đã nghĩ ra một cuộc tấn công kênh phụ có thể được sử dụng thành công chống lại các ngăn xếp phần mềm DNS phổ biến nhất, do đó khiến các trình phân giải DNS công cộng như 1.1.1.1 của Cloudflare và 8.8.8.8 của Google dễ bị tấn công.
Một cuộc tấn công kênh bên tiểu thuyết
Cuộc tấn công DNS SAD hoạt động bằng cách sử dụng một máy bị xâm nhập trong bất kỳ mạng nào có khả năng kích hoạt yêu cầu từ trình chuyển tiếp hoặc trình phân giải DNS, chẳng hạn như mạng không dây công cộng được quản lý bởi bộ định tuyến không dây trong quán cà phê, trung tâm mua sắm hoặc sân bay.
Sau đó, nó sử dụng một kênh bên trong ngăn xếp giao thức mạng để quét và khám phá cổng nguồn nào được sử dụng để bắt đầu truy vấn DNS và sau đó đưa vào một số lượng lớn các phản hồi DNS giả mạo bằng cách ép buộc các TxID.
Cụ thể hơn, các nhà nghiên cứu đã sử dụng một kênh được sử dụng trong các yêu cầu tên miền để thu hẹp số cổng nguồn chính xác bằng cách gửi giả mạo UDP các gói, mỗi gói có địa chỉ IP khác nhau, đến một máy chủ nạn nhân và suy ra liệu các đầu dò giả mạo có truy cập đúng cổng nguồn hay không dựa trên ICMP phản hồi nhận được (hoặc thiếu).
Phương pháp quét cổng này đạt được tốc độ quét 1.000 cổng mỗi giây, cộng dồn mất hơn 60 giây để thống kê toàn bộ phạm vi cổng bao gồm 65536 cổng. Do đó, với cổng nguồn, tất cả những gì kẻ tấn công phải làm là chèn một địa chỉ IP độc hại để chuyển hướng lưu lượng truy cập trang web và thực hiện thành công cuộc tấn công nhiễm độc bộ nhớ cache DNS.
Giảm thiểu các cuộc tấn công DNS SAD
Ngoài việc trình bày các cách mở rộng cửa sổ tấn công cho phép kẻ tấn công quét nhiều cổng hơn và cũng đưa thêm các bản ghi giả mạo để đầu độc bộ nhớ cache DNS, nghiên cứu cho thấy hơn 34% trình phân giải mở trên Internet dễ bị tấn công, 85% trong số đó bao gồm các dịch vụ DNS phổ biến như Google và Cloudflare.
Để chống lại SAD DNS, các nhà nghiên cứu khuyên bạn nên tắt các phản hồi ICMP gửi đi và đặt thời gian chờ của các truy vấn DNS mạnh mẽ hơn.
Các nhà nghiên cứu cũng đã tập hợp một công cụ để kiểm tra máy chủ DNS dễ bị tấn công này. Ngoài ra, nhóm đã làm việc với nhóm bảo mật nhân Linux để vá điều đó ngẫu nhiên hóa giới hạn tốc độ toàn cầu của ICMP để tạo ra tiếng ồn cho kênh bên.
Nghiên cứu “trình bày một tiểu thuyết và kênh phụ chung dựa trên [the] Các nhà nghiên cứu kết luận: “Giới hạn tốc độ ICMP toàn cầu, được thực hiện trên toàn cầu bởi tất cả các hệ điều hành hiện đại”. Điều này cho phép quét hiệu quả các cổng nguồn UDP trong các truy vấn DNS. Kết hợp với các kỹ thuật để mở rộng cửa sổ tấn công, nó dẫn đến sự hồi sinh mạnh mẽ của cuộc tấn công nhiễm độc bộ nhớ cache DNS. “
