以色列安全咨询公司JSOF披露了七个Dnsmasq漏洞,这些漏洞被统称为DNSpooq,可被攻击者用于发起DNS缓存投毒、远程执行代码和拒绝服务攻击,数百万设备受到影响。
Dnsmasq是一个流行的、开源的域名系统(DNS)转发软件,经常用于将DNS缓存和动态主机配置协议(DHCP)服务器功能添加到物联网(IoT)和其他各种嵌入式设备中。
目前还不清楚使用存在DNSpooq漏洞的Dnsmasq版本的所有公司的数量或名称。
不过,JSOF在报告中重点列出了40家厂商,包括Android/Google、Comcast、Cisco、Redhat、Netgear、Qualcomm、Linksys、IBM、D-Link、Dell、华为和Ubiquiti。
DNSpooq漏洞背后
其中三个DNSpooq漏洞(编号为CVE-2020-25686、CVE-2020-25684和CVE-2020-25685)可导致两种DNS缓存投毒攻击(也称为DNS欺骗)。
DNS缓存投毒是一种攻击方法,攻击者可利用该方法将设备上的合法DNS记录替换为自己选择的DNS记录。
使用这种攻击,攻击者可以将用户重定向到其控制下的恶意服务器,而对访问者来说,看起来他们似乎在访问合法的网站。
攻击者能够借此执行网络钓鱼攻击、盗窃凭据或分发被视为来自可信公司的恶意软件。
首个DNS欺骗攻击是由安全研究员Dan Kaminsky在2008年披露的,当时他展示了DNS软件可以被利用来窃取数据和冒充任意网站名称。
DNS欺骗
JSOF在报告中表示,可能被替换的流量包括常规互联网浏览以及其他类型的流量,如电子邮件、SSH、远程桌面、RDP视频和语音通话、软件更新等
假设的攻击场景还包括利用JavaScript的分布式拒绝服务(DDoS)、反向DDoS,以及当移动设备定期切换网络时的可蠕虫化攻击。
其余的漏洞均为缓冲区溢出漏洞,编号分别为CVE-2020-25687、CVE-2020-25683、CVE-2020-25682和CVE-2020-25681,当Dnsmasq被配置为使用DNSSEC时,攻击者可以利用这些漏洞在脆弱的网络设备上远程执行任意代码。
一百多万脆弱的设备暴露在线
利用DNSpooq安全漏洞的攻击门槛非常低,并且不需要任何不寻常的技术或工具。
根据JSOF的技术报告,攻击可以在数秒内或数分钟内成功完成,没有特殊的要求。
JSOF还发现,许多dnsmasq实例被错误配置为在WAN接口上侦听,导致攻击者可能直接从互联网发起攻击。
根据Shodan的搜索结果,超过100万个Dnsmasq服务器当前暴露在互联网上,而通过BinaryEdge搜索发现超过63万个Dnsmasq服务器,同时还有无法通过互联网访问的数百万其他路由器、VPN、智能手机、平板电脑、信息娱乐系统、调制解调器、访问接入点、无人机和类似设备也易受攻击。
JSOF表示,一些DNSpooq漏洞可导致DNS缓存投毒,其中一个DNSpooq漏洞可能会造成远程代码执行,由于数百万个设备受到影响,100多万的实例直接暴露在互联网上,攻击者可以利用该漏洞接管许多品牌的家用路由器和其他网络设备。
缓解措施
要完全缓解企图利用DNSpooq漏洞的攻击,JSOF建议用户更新Dnsmasq软件至最新的版本(2.83及之后版本)。
对于无法立即更新Dnsmasq的用户,JSOF也提供了变通方法:
- 如果环境中不需要,将dnsmasq配置为不在WAN接口上侦听
- 使用“option–dns-forward-max=”减少允许转发的最大查询数。默认值是150,但可以降低。
- 在获得补丁之前,暂时禁用DNSSEC验证选项。
- 使用为DNS提供传输安全性的协议(如DoT或DoH)。这将缓解Dnspooq漏洞的影响,但可能有其他安全和隐私的影响。在进行此操作之前,要考虑自己的设置、安全目标和风险。
- 减少EDNS消息的最大大小可能会缓解一些漏洞的影响。然而,这还没有经过测试,并且违背了相关RFC5625的建议。
去年,JSOF还披露了Treck专有TCP/IP协议栈中的19个漏洞,这些漏洞被称为Ripple20,该TCP/IP协议栈被用于各行业的数亿嵌入式设备。
作者:Sergiu Gatlan
来源:Bleeping Computer
来源:freebuf.com 2021-01-20 16:56:48 by: 偶然路过的围观群众
请登录后发表评论
注册