DNSpooq میلیون‌ها تجهیز را در معرض خطر قرار می‌دهد

پژوهشگران تیم JSOF مجموعه‌ای از آسیب‌پذیری‌ها را در نرم‌افزار Dnsmasq کشف کرده‌اند که می‌توانند باعث حملات مسموم سازی کش و اجرای کد از راه دور شوند. این آسیب‌پذیری‌ها DNSpooq نام گرفته‌اند.

پژوهشگران تیم JSOF مجموعه‌ای از آسیب‌پذیری‌ها را در نرم‌افزار Dnsmasq کشف کرده‌اند که می‌توانند باعث حملات مسموم سازی کش و اجرای کد از راه دور شوند. این آسیب‌پذیری‌ها DNSpooq نام گرفته‌اند.

نرم‌افزار Dnsmasq نرم‌افزار متن‌باز محبوبی است که می‌تواند به عنوان سرور DNS در شبکه‌های کوچک خانگی و سازمانی به کار رود. آسیب‌پذیری‌های کشف شده در Dnsmasq شامل چند آسیب‌پذیری سرریز بافر و چند آسیب‌پذیری منجر به مسمومیت کش (جعل DNS) هستند. این آسیب‌پذیری‌ها در ترکیب با یکدیگر می‌توانند باعث اجرای کد از راه دور، منع سرویس و حملات دیگر شوند.

محققان این آسیب‌پذیری‌ها را “DNSpooq” نام‌گذاری کرده‌اند که ترکیبی است از DNS spoofing (جعل DNS)، spook به معنی روح و حرف q در انتهای Dnsmasq. کشف این آسیب‌پذیری‌ها در یک نرم‌افزار پرکاربرد DNS نشان می‌دهد که 13 سال پس از حمله معروف کامینسکی (Kaminsky)، DNS همچنان آسیب‌پذیر است.

Dnsmasq روی بسیاری از مسیریاب‌ها و سرورهای خانگی و تجاری نصب شده است. محققان حداقل 40 تولیدکننده را یافته‌اند که از این نرم‌افزار در تولیدات خود استفاده می‌کنند. مسیریاب‌های سیسکو، گوشی‌های اندروید، تجهیزات Aruba و محصولات Technicolor، Red Hat و همچنین زیمنس، Ubiquiti، Comcast از جمله محصولاتی هستند که از Dnsmasq استفاده می‌کنند. میلیون‌ها تجهیز Dnsmasq را اجرا می‌کنند که حدود یک میلیون آنها از طریق اینترنت (موتور جستجوی شودان) قابل دیدن هستند.

 

مسموم سازی کش DNS

سه مورد از آسیب‌پذیری‌ها (CVE-2020-25686، CVE-2020-25684 و CVE-2020-25685) می‌توانند در حمله مسموم سازی کش مورد استفاده قرار گیرند. مسموم سازی کش نوعی حمله است که مهاجم پاسخ‌های مخرب و درخواست نشده DNS را به هدف ارسال می‌کند و باعث ذخیره این پاسخ‌ها در کش DNS (یا به عبارتی مسموم شدن کش) می‌شود. وجود این پاسخ‌های مخرب در کش DNS می‌تواند باعث شود وقتی مرورگر به دنبال یک وب‌سایت سالم است، به وب‌سایتی تحت کنترل بدخواهان هدایت شود.

 

سرریز بافر

محققان چهار آسیب‌پذیری سرریز بافر را نیز در dnsmasq کشف کرده‌اند (CVE-2020-25687، CVE-2020-25683، CVE-2020-25682 و CVE-2020-25681). مهاجم راه دور می‌تواند با ارسال پاسخ‌های خاص DNS، از این آسیب‌پذیری‌ها بهره‌برداری کنند. چنین حملاتی می‌توانند باعث منع سرویس، نشت اطلاعات، و احتمالاً اجرای کد از راه دور شوند.

هرچند اکثر این آسیب‌پذیری‌ها از نوع سرریز بافر مبتنی بر هیپ هستند و تنها می‌توانند منجر به منع سرویس شوند، یکی از آنها خطرناک‌تر است و در صورتی که DNSSEC روی Dnsmasq فعال شده باشد، مهاجم می‌تواند از راه دور کد اجرا کند. DNSSEQ مجموعه‌ای از پروتکل‌ها است که امنیت DNS را افزایش می‌دهند.

 

تأثیر آسیب‌پذیری‌ها

محققان چهار آسیب‌پذیری سرریز بافر را نیز در dnsmasq کشف کرده‌اند (CVE-2020-25687، CVE-2020-25683، CVE-2020-25682 و CVE-2020-25681). مهاجم راه دور می‌تواند با ارسال پاسخ‌های خاص DNS، از این آسیب‌پذیری‌ها بهره‌برداری کنند. چنین حملاتی می‌توانند باعث منع سرویس، نشت اطلاعات، و احتمالاً اجرای کد از راه دور شوند.

هرچند اکثر این آسیب‌پذیری‌ها از نوع سرریز بافر مبتنی بر هیپ هستند و تنها می‌توانند منجر به منع سرویس شوند، یکی از آنها خطرناک‌تر است و در صورتی که DNSSEC روی Dnsmasq فعال شده باشد، مهاجم می‌تواند از راه دور کد اجرا کند. DNSSEQ مجموعه‌ای از پروتکل‌ها است که امنیت DNS را افزایش می‌دهند.

 

 

منبع: threat post و JSOF

 

کلمات کلیدی