Novo ataque de canal lateral ressuscita ameaça de envenenamento de DNS

Um novo ataque de canal lateral permitiria potencialmente que os invasores envenenassem os servidores DNS e redirecionassem o tráfego para sites maliciosos.

Uma vulnerabilidade de segurança recém-divulgada no sistema DNS pode deixar os provedores em risco de ataques ao servidor.

Keyu Man, Xin’an Zhou e Zhiyun Qian da Universidade da Califórnia em Riverside disseram em um artigo publicado recentemente que os invasores que exploram a vulnerabilidade podem potencialmente entrar entre a conexão do resolvedor de DNS para o servidor de nomes, permitindo-lhes alterar o endereços IP de servidor conectados a vários domínios da web. A pesquisa sobre a vulnerabilidade, designada CVE-2021-20322, foi apresentada na quarta-feira na Conferência ACM sobre Segurança de Computadores e Comunicações na Coréia do Sul.

O ponto central do ataque é a maneira como o Linux lida com as consultas DNS em servidores, especificamente os pacotes ICMP (Internet Control Message Protocol ). A equipe de pesquisa acadêmica descobriu que esses comportamentos podem ser usados ​​para inferir o número da porta UDP (User Datagram Protocol ) entre o resolvedor e o servidor de nomes, algo que, de outra forma, é aleatório e extremamente difícil de adivinhar.

Ao criar pacotes ICMP especialmente criados, dispará-los em massa em um bloco de números de porta em potencial e, em seguida, analisar o conteúdo das respostas da mensagem de erro, seria possível estreitar o número de conexões em potencial até o ponto em que o número da porta privada poderia ser funcionou.

A partir daí, o invasor pode falsificar a conexão entre o servidor de nomes e o resolvedor, instruir o resolvedor a definir endereços IP arbitrários para domínios populares e habilitar qualquer coisa, desde ataques de phishing a downloads drive-by.

“Surpreendentemente, descobrimos novos canais secundários que estão à espreita na pilha de rede do Linux há mais de uma década e ainda não eram conhecidos”, escreveram os pesquisadores em seu artigo, acrescentando que até 38% dos resolvedores de DNS são vulneráveis ​​a ataques .

No entanto, a equipe alertou que o Linux não é o único vetor de ameaça para este ataque. “Os canais secundários afetam não apenas o Linux, mas também uma ampla gama de softwares DNS executados nele, incluindo BIND, Unbound e dnsmasq.”

A pesquisa se baseia em um conjunto anterior de ataques que os pesquisadores descobriram e apelidaram de “SADDNS”. A pesquisa SADDNS mostrou como o limite de taxa no sistema UDP pode ser usado para inferir a porta para a conexão do servidor de nomes.

“Em SADDNS, o insight principal é que um recurso compartilhado, ou seja, o limite de taxa global ICMP compartilhado entre o invasor off-path e a vítima, pode ser aproveitado para enviar sondagens UDP falsificadas e inferir qual porta efêmera é usada”, explicou o trio em o papel. “Infelizmente, não está claro quantos canais laterais existem na pilha da rede.”

O trabalho também remete à pesquisa do falecido Dan Kaminsky, um renomado pesquisador de segurança que em 2008 causou um grande rebuliço na indústria ao revelar a possibilidade de ataques de envenenamento de cache DNS em grande escala. Kaminsky morreu no início deste ano com 42 anos.

A equipe já relatou a falha em particular e, embora o kernel Linux, BIND e Unbound tenham patches para corrigir os bugs, Man disse ao SearchSecurity que não está claro onde os próprios provedores de DNS estão no processo.

“Nós relatamos nossas descobertas a vários provedores de DNS como AdGuard, OpenDNS e Quad9, e eles reconheceram as vulnerabilidades”, disse Man. “Mas, pelo que sabemos, apenas o OpenDNS nos disse que corrigiu o problema.”

Quanto aos administradores e usuários finais, a equipe recomenda certificar-se de que seu kernel Linux e BIND / Unbound estejam atualizados. Os administradores também podem colocar limites adicionais sobre como o tráfego ICMP é tratado.

“Uma solução fácil de implantar seria rejeitar pacotes ICMP necessários para fragmentos e redirecionar pacotes ICMP usando iptables e ip6tables, o que pode ser feito em tempo de execução sem reiniciar o serviço”, disse Man. “Mas isso pode interromper o uso legítimo desses pacotes.”

Fonte: https://www.techtarget.com/