www.belgium.be Logo of the federal government

DNSPOOQ – KWETSBAARHEDEN IN DNSMASQ OPENEN DE DEUR VOOR DNS CACHE POISONING OP NETWERKAPPARATEN & LINUXDISTRIBUTIES

Referentie: 
Advies #2021-0002
Versie: 
1.0
Geïmpacteerde software: 
dnsmasq-versies 2.78 tot 2.82
Type: 
DNS cache poisoning (cachevergiftiging), Buffer overflow. Exploiteerbaar op afstand/weinig technische vaardigheden vereist om dit te exploiteren
CVE/CVSS: 
  • CVE-2020-25681: Buffer overflow
  • CVE-2020-25682: Buffer overflow
  • CVE-2020-25683: Buffer overflow
  • CVE-2020-25684: TXID-Port-ontkoppeling
  • CVE-2020-25685: Zwakke frec-identificatie
  • CVE-2020-25686: Meerdere openstaande requests voor dezelfde naam
  • CVE-2020-25687: Buffer overflow
Datum: 
21/01/2021

Bronnen

Officiële onderzoekers: https://www.jsof-tech.com/disclosures/dnspooq/

Technische whitepaper: https://www.jsof-tech.com/wp-content/uploads/2021/01/DNSpooq_Technical-Whitepaper.pdf

Risico’s

De succesvolle exploitatie van deze zeven kwetsbaarheden in de dnsmasq zou kunnen resulteren in cachevergiftiging, code-uitvoering op afstand (remote code execution) en een denial-of-servicesituatie. Alle klanten die verbinding maken met het internet met behulp van infrastructuur waarop een kwetsbare versie van dnsmasq is geïmplementeerd, zouden onbewust naar kwaadaardige websites kunnen surfen.

Beschrijving

Dnsmasq is een van de populairste caching-DNS-forwarders. Dnsmasq wordt vaak gebruikt in Internet-of-Things (IoT) en andere ingebedde apparaten. Onderzoekers hebben zeven kwetsbaarheden ontdekt in dnsmasq: drie die cachevergiftiging mogelijk maken en vier die buffer overflows toelaten.

Het DNS (Domain Name System) gebruikt een cache, de DNS-cache, om domeinnamen te vertalen naar IP-adressen en mag alleen legitieme informatie bevatten. DNS gebruikt dit cache-mechanisme om de Authoritative Name Servers te offloaden. Cachevergiftiging is een klassieke aanval waarbij een aanvaller de gegevens in de DNS-cache kan vervangen door kwaadaardige gegevens.

Als een dnsmasq-instance via het internet bereikbaar is, is deze kwetsbaar voor DNS-cache-vergiftiging, maar de kwetsbaarheid kan ook worden geëxploiteerd vanuit het Local Area Network (LAN). De onderzoekers vonden 1 miljoen kwetsbare installaties op het internet (onderzoek van september 2020). Om cachevergiftiging-kwetsbaarheden te exploiteren, heeft een aanvaller genoeg aan een server op het internet met een daaraan gekoppelde DNS-domeinnaam, en die gespoofde bron-IP-pakketten kan versturen. De onderzoekers hebben aangetoond dat deze vereisten gemakkelijk haalbaar zijn.

Bufferoverflow-kwetsbaarheden maken het code-uitvoering op afstand mogelijk, waardoor de DNSSEC-doelstellingen zinloos worden.

Aanbevolen acties

  • CERT.be raadt gebruikers aan te updaten naar de laatste versie (2.83 of hoger).
  • CERT.be beveelt aan om Layer 2-beveiligingsfuncties te implementeren, zoals DHCP snooping en IP source guard.
  • CERT.be raadt aan om DNS-over-HTTPS of DNS-over-TLS te gebruiken om verbinding te maken met de upstream-server.
  • CERT.be raadt aan de DNSSEC-validatie-optie tijdelijk uit te schakelen totdat je de patch uitvoert.

Download de laatste updates via: http://www.thekelleys.org.uk/dnsmasq/?C=M;O=D