以色列安全咨询公司JSOF今天披露了七个Dnsmasq漏洞(统称为DNSpooq),可利用该漏洞对数百万受影响的设备发起DNS缓存中毒,远程执行代码和拒绝服务攻击。
Dnsmasq 是一种经常使用的流行且开放源代码的域名系统(DNS)转发软件,它向物联网(IoT)和其他各种嵌入式设备添加了DNS缓存和动态主机配置协议(DHCP)服务器功能。
尚不知道在其设备上使用容易受到DNSpooq攻击的Dnsmasq版本的所有公司的完整编号或名称。
但是,JSOF在其咨询中着重列出了40个供应商,其中包括Android / Google,Comcast,Cisco,Redhat,Netgear,高通,Linksys,Netgear,IBM,D-Link,Dell,Huawei和Ubiquiti。
DNSpooq漏洞的背后
DNSpooq漏洞中的三个(跟踪为CVE-2020-25686,CVE-2020-25684,CVE-2020-25685)允许两种DNS缓存中毒攻击(也称为DNS欺骗)。
DNS缓存中毒是一种攻击方法,允许威胁行为者以自己选择的方式替换设备上的合法DNS记录。
使用此攻击,威胁行为者可以将用户重定向到他们控制下的恶意服务器,而将访问者重定向到访问者,就好像他们正在访问合法站点一样。
这使攻击者可以执行网络钓鱼攻击,凭据盗窃或散布被认为是受信任公司的恶意软件。
安全研究员Dan Kaminsky在2008年披露了第一个DNS欺骗攻击,当时他证明可以利用DNS软件窃取数据并假冒任何网站名称。
JSOF的报告解释说: “可能被破坏的流量包括常规的Internet浏览以及其他类型的流量,例如电子邮件,SSH,远程桌面,RDP视频和语音呼叫,软件更新等等 。”
假想的攻击场景还包括JavaScript推动的分布式拒绝服务(DDoS),反向DDOS和针对定期切换网络的移动设备的可蠕虫攻击。
其余漏洞被跟踪为CVE-2020-25687,CVE-2020-25683,CVE-2020-25682和CVE-2020-25681的缓冲区溢出漏洞,当配置了Dnsmasq时,它们可能使攻击者在易受攻击的网络设备上远程执行任意代码使用DNSSEC。
暴露了超过一百万个易受攻击的设备
利用DNSpooq安全漏洞的攻击非常容易实施,不需要任何异常的技术或工具。
JSOF的技术白皮书说: “攻击可以在几秒钟或几分钟内成功完成,并且没有特殊要求 。”
“我们还发现,许多dnsmasq实例配置错误,无法在WAN接口上侦听,从而可以直接从Internet进行攻击。”
根据Shodan的说法 ,目前Internet上有超过100万个Dnsmasq服务器公开,根据BinaryEdge的数据,目前有63万多个服务器,以及数百万其他路由器,VPN,智能手机,平板电脑,信息娱乐系统,调制解调器,接入点,无人机和类似设备,互联网也容易受到攻击。
“某些DNSpooq漏洞会导致DNS缓存中毒,而其中一个DNSpooq漏洞可能会导致潜在的远程执行代码,从而可能接管许多品牌的家用路由器和其他网络设备,从而影响数百万台设备,甚至超过一百万实例直接暴露给Internet。” JSOF说。
缓解措施
为了完全缓解尝试利用DNSpooq漏洞的攻击,JSOF建议将Dnsmasq软件更新到最新版本(2.83或更高版本)。
JSOF还为无法立即更新Dnsmasq的用户提供了(部分)解决方法的列表:
- 如果您的环境中没有必要,请将dnsmasq配置为不侦听WAN接口。
- 使用选项–dns-forward-max =减少允许转发的最大查询数。默认值为150,但是可以降低它。
- 暂时禁用DNSSEC验证选项,直到获得补丁为止。
- 使用为DNS提供传输安全性的协议(例如DoT或DoH)。这将减轻Dnspooq的负担,但可能会带来其他安全性和隐私问题。在执行此操作之前,请考虑您自己的设置,安全目标和风险。
- 减少EDNS邮件的最大大小可能会缓解某些漏洞。但是,这尚未经过测试,违背了相关RFC5625的建议。
去年,JSOF还 从Treck的专有TCP / IP堆栈中披露了19个名为Ripple20的漏洞的集合,这些漏洞已在各个行业的数亿个嵌入式设备中使用。
*编译:Domino
*来自:bleepingcomputer