DNSpooq میلیونها تجهیز را در معرض خطر قرار میدهد
پژوهشگران تیم JSOF مجموعهای از آسیبپذیریها را در نرمافزار Dnsmasq کشف کردهاند که میتوانند باعث حملات مسموم سازی کش و اجرای کد از راه دور شوند. این آسیبپذیریها DNSpooq نام گرفتهاند.
| پژوهشگران تیم JSOF مجموعهای از آسیبپذیریها را در نرمافزار Dnsmasq کشف کردهاند که میتوانند باعث حملات مسموم سازی کش و اجرای کد از راه دور شوند. این آسیبپذیریها DNSpooq نام گرفتهاند. |
|
نرمافزار Dnsmasq نرمافزار متنباز محبوبی است که میتواند به عنوان سرور DNS در شبکههای کوچک خانگی و سازمانی به کار رود. آسیبپذیریهای کشف شده در Dnsmasq شامل چند آسیبپذیری سرریز بافر و چند آسیبپذیری منجر به مسمومیت کش (جعل DNS) هستند. این آسیبپذیریها در ترکیب با یکدیگر میتوانند باعث اجرای کد از راه دور، منع سرویس و حملات دیگر شوند. محققان این آسیبپذیریها را “DNSpooq” نامگذاری کردهاند که ترکیبی است از DNS spoofing (جعل DNS)، spook به معنی روح و حرف q در انتهای Dnsmasq. کشف این آسیبپذیریها در یک نرمافزار پرکاربرد DNS نشان میدهد که 13 سال پس از حمله معروف کامینسکی (Kaminsky)، DNS همچنان آسیبپذیر است. Dnsmasq روی بسیاری از مسیریابها و سرورهای خانگی و تجاری نصب شده است. محققان حداقل 40 تولیدکننده را یافتهاند که از این نرمافزار در تولیدات خود استفاده میکنند. مسیریابهای سیسکو، گوشیهای اندروید، تجهیزات Aruba و محصولات Technicolor، Red Hat و همچنین زیمنس، Ubiquiti، Comcast از جمله محصولاتی هستند که از Dnsmasq استفاده میکنند. میلیونها تجهیز Dnsmasq را اجرا میکنند که حدود یک میلیون آنها از طریق اینترنت (موتور جستجوی شودان) قابل دیدن هستند. |
|
مسموم سازی کش DNS |
|
سه مورد از آسیبپذیریها (CVE-2020-25686، CVE-2020-25684 و CVE-2020-25685) میتوانند در حمله مسموم سازی کش مورد استفاده قرار گیرند. مسموم سازی کش نوعی حمله است که مهاجم پاسخهای مخرب و درخواست نشده DNS را به هدف ارسال میکند و باعث ذخیره این پاسخها در کش DNS (یا به عبارتی مسموم شدن کش) میشود. وجود این پاسخهای مخرب در کش DNS میتواند باعث شود وقتی مرورگر به دنبال یک وبسایت سالم است، به وبسایتی تحت کنترل بدخواهان هدایت شود.
|
|
سرریز بافر |
|
محققان چهار آسیبپذیری سرریز بافر را نیز در dnsmasq کشف کردهاند (CVE-2020-25687، CVE-2020-25683، CVE-2020-25682 و CVE-2020-25681). مهاجم راه دور میتواند با ارسال پاسخهای خاص DNS، از این آسیبپذیریها بهرهبرداری کنند. چنین حملاتی میتوانند باعث منع سرویس، نشت اطلاعات، و احتمالاً اجرای کد از راه دور شوند. هرچند اکثر این آسیبپذیریها از نوع سرریز بافر مبتنی بر هیپ هستند و تنها میتوانند منجر به منع سرویس شوند، یکی از آنها خطرناکتر است و در صورتی که DNSSEC روی Dnsmasq فعال شده باشد، مهاجم میتواند از راه دور کد اجرا کند. DNSSEQ مجموعهای از پروتکلها است که امنیت DNS را افزایش میدهند.
|
|
تأثیر آسیبپذیریها |
|
محققان چهار آسیبپذیری سرریز بافر را نیز در dnsmasq کشف کردهاند (CVE-2020-25687، CVE-2020-25683، CVE-2020-25682 و CVE-2020-25681). مهاجم راه دور میتواند با ارسال پاسخهای خاص DNS، از این آسیبپذیریها بهرهبرداری کنند. چنین حملاتی میتوانند باعث منع سرویس، نشت اطلاعات، و احتمالاً اجرای کد از راه دور شوند. هرچند اکثر این آسیبپذیریها از نوع سرریز بافر مبتنی بر هیپ هستند و تنها میتوانند منجر به منع سرویس شوند، یکی از آنها خطرناکتر است و در صورتی که DNSSEC روی Dnsmasq فعال شده باشد، مهاجم میتواند از راه دور کد اجرا کند. DNSSEQ مجموعهای از پروتکلها است که امنیت DNS را افزایش میدهند.
|
|
منبع: threat post و JSOF |