DNSpooq een verzameling van verschillende kwetsbaarheden voor DNSMasq DNS Forwarder

De 7 kwetsbaarheden, die samen “DNSpooq” worden genoemd door het Israëlische onderzoeksbedrijf JSOF, weerspiegelt eerder bekend gemaakte zwakheden in de DNS architectuur, hierdoor zijn DNSmasq servers machteloos tegen een verschillende set aan aanvallen.

DNSmasq is populaire open-source software dat gebruikt wordt voor het cachen van Domain Name System (DNS) responses, waardoor het een kwaadwillende toe staat om DNS cache poisoning attacks op te zetten en op afstand kwaadaardige code uit te voeren.

“We hebben gevonden dat DNSmasq kwetsbaar is voor een DNS cache poisoning aanval door een off-path aanvaller (een aanvaller die niet kijkt naar de communicatie tussen een DNS forwarder en een DNS server),” geven de onderzoekers van JSOF aan in hun rapport.

“Onze aanval maakt het mogelijk voor het “vergiftigen” van meerdere domeinnamen tegelijkertijd en is een resultaat van verschillende kwetsbaarheden die gevonden zijn. De aanval kan voltooid worden binnen seconden of een paar minuten en er zijn geen speciale requirements. Ook hebben we ontdekt dan veel DNSmasq implementaties verkeerd zijn geconfigureerd om te luisteren op de WAN interface, hierdoor is een aanval direct vanaf het internet mogelijk.”

Waar wordt DNSmasq gebruikt

DNSmasq wordt vaak toegevoegd aan de firmware van verschillende netwerk devices om DNS forwarding mogelijk te maken door DNS requests van lokale gebruikers door te sturen naar een upstream DNS-server en daarna het resultaat op te slaan in het cache, zodat dezelfde resultaten ook beschikbaar zijn voor andere clients, zonder weer opnieuw een DNS query upstream te maken.

Hierdoor lijkt de rol van DNSmasq niet zo belangrijk, maar ze hebben eigenlijk een cruciale rol om de internet snelheid te verbeteren door herhalend verkeer te voorkomen.

Vandaag de dag zijn er miljoenen devices wereldwijd die gebruik maken van DNSmasq. Onder andere Cisco devices, Android smartphones en verschillende netwerkapparatuur zoals routers, acces points, firewalls en VPNs van bedrijven zoals ZTE, Aruba, Redhat, Belden, Ubiquiti, D-Link, Huawei, Linksys, Zyxel, Juniper, Netgear, HPE, IBM, Siemens en Xiaomi.

Een terugblik op Kaminsky aanval en SAD DNS

Het concept van DNS cache poisoning is niet nieuw. Al in 2008 had security onderzoeker Dan Kaminsky zijn bevindingen gepubliceerd over een breed verspreide en kritieke DNS kwetsbaarheid dat het aanvallers mogelijk maakte om cache poisoning aanvallen te starten tegen de meeste nameservers.

Het maakte misbruik van een fundamentele ontwerpfout in DNS, want er kunnen maar 65.536 mogelijke transaction IDs (TXIDs) zijn. Hiermee worden DNS servers overspoelt met aangepaste responses, welke dan in het cache worden vastgelegd en een route bieden voor gebruikers naar frauduleuze websites.

Transaction IDs waren geïntroduceerd als een mechanisme om de mogelijkheid tegen te gaan dat een autoritaire nameserver nagemaakt kan worden om kwaadaardige responses te maken. In deze nieuwe opstelling maken DNS-resolvers een 16-bit ID vast aan hun requests naar nameservers, waarvan er een response terugkomt met hetzelfde ID.

DNSMasq DNS Forwarder

Maar de beperking in het aantal transaction IDs zorgde ervoor dat wanneer een resolver een autoritaire nameserver een query verstuurde voor een domein (bijv. www.google.com), dan kon een aanvaller de resolver overspoelen met responses voor sommige of alle 65 duizend mogelijke transaction IDs.

Als het kwaadaardige antwoord met het juiste transaction ID van de aanvaller eerder aankomt dan de response van de autoritaire nameserver, dan is het DNS cache effectief vergiftigd, en geeft het gekozen IP-adres van de aanvaller in plaatst van het legitieme IP-adres net zolang het DNS response geldig is.

De aanval leunde of het feit dat het gehele opzoek proces ongeauthentiseerd, waardoor het niet mogelijk is om de identiteit te verifiëren van de autoritaire nameserver en DNS requests en responses gebruiker het UDP (User Datagram Protocol) in plaats van TCP, hierdoor is het eenvoudiger om de antwoorden te spoofen.

Om dit probleem te verhelpen, was een willekeurige UDP port als tweede identifier gekozen samen met het transaction ID, in tegenstelling tot alleen het gebruik van poort 53.  Hierdoor is het aantal verschillende mogelijke combinaties opgelopen in de miljarden, waardoor het praktisch gezien onhaalbaar is voor aanvallers om de juiste combinatie van de source poort en transaction ID te vinden.

Ondanks dat de effectiviteit van cache poisoning aanvallen een klap heeft gekregen door het voorgenoemde source port randomization (SPR) en protocollen zoals DNSSEC (Domain Name System Security Extensions), hebben onderzoekers afgelopen november een nieuwe side-channel om de willekeurige poorten tegen te gaan door ICMP rate limieten te gebruiker als een side-channel om bekend te maken welke poorten open zijn en welke niet.

De aanvallen hebben de naam “SAD DNS” of Side-channel AttackeD DNS, hierbij wordt een groot aantal gespoofde UDP-pakketten gestuurd naar een DNS resolver, elke met een andere poort en gebruik maken van ICMP “Port Unreachable” berichten (of een aanwezigheid hiervan) als een indicator om te onderscheiden of er voldaan is aan een rate limiet om uiteindelijk achter de exacte source poort te komen waarvan het request vandaan is gekomen.

Het opzetten van aanvallen in meerde fasen voor het overnemen van een device

De DNS cache poisoning aanvallen gedetailleerd door de onderzoekers van JSOF bevatten overeenkomsten met SAD DNS, omdat 3 van de 7 kwetsbaarheden (CVE-2020-25684, CVE-2020-25685 en CVE-2020-25686) van DNSpooq er op gericht zijn om het aantal mogelijke Transaction IDS en source poorten te verminderen die nodig zijn om een response te accepteren.

De onderzoekers kwamen er achter dat ondanks dat Dnsmasq SPR ondersteund, waarbij meerdere TXIDS bij 1 poort worden ondergebracht en poorten worden niet gelinkt aan specifieke TXIDs en het CRC32 algoritme gebruikt om DNS spoofing te voorkomen, kan verslagen worden. Dit leid tot een scenario waar de aanvaller een van de poorten goed moeten hebben en een van de TXIDs.

DNSmasq versies 2.78 t/m 2.82 zijn kwetsbaar voor de 3 bovengenoemde kwetsbaarheden.

DNSMasq DNS Forwarder

De andere 4 kwetsbaarheden (CVE-2020-25681, CVE-2020-25682, CVE-2020-25683 en CVE-2020-25687) van DNSpooq zijn heap-based buffer overflows, welke kunnen leiden tot de mogelijke uitvoering van willekeurige code op afstand (Remote Code Execution) op het kwetsbare device.

“Deze kwetsbaarheden hebben opzichzelfstaand een gelimiteerd risico, maar worden extra krachtig in combinaties met de 3 cache-poisoning kwetsbaarheden die samen DNSpooq vormen om een krachtige aanval te maken die remote code execution toestaat,” geven de onderzoekers aan.

Om het erger te maken kunnen deze DNSpooq kwetsbaarheden gecombineerd worden met andere netwerk aanvallen zoals  SAD DNS en NAT Slipstreaming om een aanval van meerde fasen op te zetten tegen Dnsmasq resolvers die luisteren op poort 53. Zelfs de resolvers die geconfigureerd zijn om alleen te luisteren naar connecties binnen het interne netwerk lopen risico als de kwaadaardige code wordt verspreid via webbrowsers of andere geïnfecteerde devices op hetzelfde netwerk.

Naast dat deze resolvers kwetsbaar worden voor cache poisoning, de aanvallen kunnen ook toestaan dat een kwaadwillende routers en andere netwerkapparatuur overneemt, het maken van een distributed denial-of-service (DDoS) aanvallen om het verkeer om te leiden naar een malafide domein en zelfs voorkomen dat gebruikers toegang hebben tot legitieme websites (reverse DDoS).

De onderzoekers geven ook aan dat er een mogelijkheid is voor “wormachtige aanval” waarin mobiele devices die verbonden zijn met een netwerk dat een geïnfecteerde Dnsmasq server gebruiker, dan krijgt dit device een slecht DNS record en deze wordt daarna gebruikt om een nieuw netwerk te infecteren wanneer er verbinding meer wordt gemaakt.

Update en workarounds

Aan leveranciers wordt er aanbevolen om te updaten naar de laatst beschikbare versie (2.83 of hoger) om het risico op een aanval met de DNSpooq kwetsbaarheden te mitigeren.

Als workarounds geven de onderzoekers aan het maximaal aantal queries dat geforward mag worden te verlagen en gebruik te maken van DNS-over-HTTPS (DoH) of DNS-over-TLS (DoT) om verbinding te maken met de upstream DNS-server.

Shlomi Oberman van JSF heeft nog een andere workaround: “Het instellen van een vertrouwde DNS-server van bijvoorbeeld Google of Cloudflare als statische DNS, zodat DNS request niet worden afgehandeld door je (thuis)router, maar direct naar een remote DNS-server gaan.

“DNS is een kritiek protocol voor het internet waarvan de beveiliging ervan grote invloed heeft op de beveiliging van internet gebruikers,” concluderen de onderzoekers. “Deze problemen zorgen ervoor dat netwerk devices het risico lopen gecompromitteerd te worden en zo impact te hebben op miljoenen internet gebruikers, welke last kunnen hebben van de cache poisoning aanval die hierboven is omschreven.”

“Dit licht het uit hoe belangrijk DNS security is in het algemeen en de security van DNS forwarders in het bijzonder. Ook brengt dit aan het licht dat de noodzaak er is voor het uitrollen van DNS security maatregelen zoals DNSSEC, DNS transport Security en DNS cookies.”

Advies

Het advies aan iedereen is om ervoor te zorgen dat de netwerk devices die je gebruikt worden geüpdatet naar de laatste versie van DNSmasq wanneer je leverancier deze beschikbaar stelt.

Indien dit niet mogelijk is of de update is momenteel nog niet beschikbaar, is het aan te raden om te kijken of er gebruik gemaakt kan worden van één of meer van de voorgestelde workarounds.

Source & Source

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

Kwaadaardige software infrastructuur eenvoudiger te verkrijgen en uit te rollen dan ooit
Nieuwe wormachtige Android malware verspreid zich via WhatsApp

Gerelateerde berichten

VMware

Kritieke RCE kwetsbaarheden voor VMware ESXi en vSphere Client

Microsoft

Microsoft trekt defecte servicing stack update in na problemen voor gebruikers

Ransomware

De huidige Ransomware en Phishing aanvallen Trends

phishing

UPDATE: Agent Tesla Malware gespot met nieuwe bezorg- en ontwijktechnieken

Android malware

Nieuwe wormachtige Android malware verspreid zich via WhatsApp

malware

Kwaadaardige software infrastructuur eenvoudiger te verkrijgen en uit te rollen dan ooit

2021

Cybersecurity Trends in 2021

6 vragen die aanvallers zichzelf stellen, voordat ze overgaan op het aanvallen van een systeem

Contact Form 7

Kritieke kwetsbaarheid in Contact Form 7 WordPress plug-in maakt overname van 5M sites mogelijk

SolarWinds

Backdoor aangetroffen in SolarWinds Orion software updates

phishing

Microsoft.com wordt gespooft in spearphishing aanval richting 200 miljoen Office 365 gebruikers

Oracle

Meerdere botnets maken misbruik van kritieke Oracle WebLogic kwetsbaarheden

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

negentien − 13 =

Menu