LES VULNÉRABILITÉS POUR DNSPOOQ ET DNSMASQ PRESENTENT UN RISQUE D’EMPOISONNEMENT DU CACHE DNS POUR LES PÉRIPHÉRIQUES RÉSEAU ET LES DISTRIBUTIONS LINUX
- CVE-2020-25681: débordement de mémoire tampon
- CVE-2020-25682: débordement de mémoire tampon
- CVE-2020-25683: débordement de mémoire tampon
- CVE-2020-25684: Découplage port TXID
- CVE-2020-25685: Identification frec faible[PL1]
- CVE-2020-25686: Multiples requêtes en suspens pour le même nom
- CVE-2020-25687: débordement de mémoire tampon
Sources
Experts officiels : https://www.jsof-tech.com/disclosures/dnspooq/
Whitepaper technique : https://www.jsof-tech.com/wp-content/uploads/2021/01/DNSpooq_Technical-Whitepaper.pdf
Risques
Une exploitation réussie de ces sept vulnérabilités dans le dnsmasq pourrait entraîner un empoisonnement du cache, une exécution de code arbitraire à distance (remote code execution) et un problème de déni de service. Tous les clients qui se connectent à Internet en utilisant une infrastructure où une version vulnérable du dnsmasq a été implémentée pourraient, sans le savoir, naviguer vers des sites web malveillants.
Description
Dnsmasq est l'un des DNS forwarders de mise en cache les plus populaires. Dnsmasq est couramment utilisé dans les objets connectés (IoT) et dans d'autres dispositifs intégrés. Les experts ont découvert 7 vulnérabilités dans dnsmasq : 3 vulnérabilités permettent l'empoisonnement du cache et 4 autres vulnérabilités permettent des débordements de mémoire tampon.
Le DNS (Domain Name System) utilise un cache, la mémoire cache du DNS, pour traduire les noms de domaine en adresses IP et ne doit contenir que des informations légitimes. Le DNS utilise ce mécanisme de mise en cache pour éviter de surcharger les serveurs de noms faisant autorité (Authoritative Name Servers). L'empoisonnement de cache est une attaque classique qui permet à un acteur malveillant de remplacer des entrées légitimes dans le cache du DNS par des entrées malveillantes.
Si une instance de dnsmasq est accessible via Internet, elle est vulnérable à l'empoisonnement du cache DNS. La vulnérabilité peut également être exploitée à partir du réseau local (LAN).
Les experts ont détecté un million d'instances vulnérables sur Internet (recherche de septembre 2020). Les seules exigences requises pour exploiter les vulnérabilités d'empoisonnement de cache est d'avoir un serveur sur Internet doté d’un nom de domaine DNS lié à celui-ci et d'avoir la capacité d'envoyer des paquets IP source modifiés (spoofed source IP packets). Les experts ont démontré que ces exigences étaient facilement accessibles.
Les vulnérabilités de débordement de mémoire tampon permettent l'exécution de code à distance, ce qui rend les objectifs DNSSEC inutiles.
Actions recommandées
- Le CERT.be recommande aux utilisateurs de mettre leur logiciel à jour pour passer à la dernière version (2.83 ou plus).
- Le CERT.be recommande d’implémenter des dispositifs de sécurité de couche 2 tels que le DHCP snooping et IP source guard.
- Le CERT.be recommande d’utiliser le DNS-via-HTTPS ou le DNS-via-TLS pour se connecter au serveur en amont.
- Le CERT.be recommande de désactiver temporairement l'option de validation DNSSEC jusqu'à l'application du patch.
Téléchargez les dernières mises à jour sur : http://www.thekelleys.org.uk/dnsmasq/?C=M;O=D