以色列安全咨询公司JSOF今天披露了七个Dnsmasq漏洞(统称为DNSpooq),可利用该漏洞对数百万受影响的设备发起DNS缓存中毒,远程执行代码和拒绝服务攻击。
Dnsmasq是一种流行的开源域名系统(DNS)转发软件,它将DNS缓存和动态主机配置协议(DHCP)服务器功能添加到运行它的网络设备中。
尚不知道在其设备上使用容易受到DNSpooq攻击的Dnsmasq版本的所有公司的完整编号或名称。
但是,JSOF在其报告中突出显示了40家供应商的名单,其中包括Android / Google,Comcast,Cisco,Redhat,Netgear,Qualcomm,Linksys,Netgear,IBM,D-Link,Dell,Huawei和Ubiquiti。
DNSpooq漏洞中的三个(跟踪为CVE-2020-25686,CVE-2020-25684,CVE-2020-25685)允许两种DNS缓存中毒攻击(也称为DNS欺骗)。
DNS缓存中毒是一种攻击方法,允许威胁行为者以自己选择的方式替换设备上的合法DNS记录。
使用此攻击,威胁行为者可以将用户重定向到他们控制下的恶意服务器,而将访问者重定向到访问者,就好像他们正在访问合法站点一样。
这使攻击者可以执行网络钓鱼攻击,凭据盗窃或散布被认为是受信任公司的恶意软件。
安全研究员Dan Kaminsky在2008年披露了首个DNS欺骗攻击,当时他证明可以利用DNS软件窃取数据并假冒任何网站名称。
"可能被颠覆的流量包括常规的Internet浏览以及其他类型的流量,例如电子邮件,SSH,远程桌面,RDP视频和语音呼叫,软件更新等等," JSOF的报告进行了解释。
假设的攻击场景还包括JavaScript推动的分布式拒绝服务(DDoS),反向DDOS和针对定期切换网络的移动设备的可蠕虫攻击。
其余漏洞被跟踪为CVE-2020-25687,CVE-2020-25683,CVE-2020-25682和CVE-2020-25681的缓冲区溢出漏洞,当配置了Dnsmasq时,攻击者可以使攻击者在易受攻击的网络设备上远程执行任意代码使用DNSSEC。
利用DNSpooq安全漏洞的攻击非常容易实施,不需要任何异常的技术或工具。
"攻击可以在几秒钟或几分钟内成功完成,并且没有特殊要求," JSOF的技术白皮书说[PDF]。
"我们还发现许多dnsmasq实例被配置为无法侦听WAN接口,从而直接从Internet进行了攻击。
据Shodan称,目前有超过100万台Dnsmasq服务器在Internet上公开,根据BinaryEdge,有63万台以上,还有数百万其他路由器,VPN,智能手机,平板电脑,信息娱乐系统,调制解调器,接入点,无人机和类似设备无法通过互联网也容易受到攻击。
"一些DNSpooq漏洞允许DNS缓存中毒,并且其中一个DNSpooq漏洞可以允许潜在的远程执行代码,该代码可以接管许多品牌的家用路由器和其他网络设备,并影响数百万台设备,以及超过一百万个直接暴露给Internet的实例," JSOF说。
为了完全缓解尝试利用DNSpooq漏洞的攻击,JSOF建议将Dnsmasq软件更新到最新版本(2.83或更高版本)。
JSOF还为无法立即更新Dnsmasq的用户提供了(部分)解决方法的列表:
使用选项--dns-forward-max =减少允许转发的最大查询数。默认值为150,但是可以降低它。
使用为DNS提供传输安全性的协议(例如DoT或DoH)。这将减轻Dnspooq的负担,但可能会带来其他安全性和隐私隐患。在执行此操作之前,请考虑您自己的设置,安全目标和风险。
减少EDNS邮件的最大大小可能会缓解某些漏洞。 但是,这尚未经过测试,违背了相关RFC5625的建议。 去年,JSOF还披露了Treck专有的TCP / IP堆栈中的19个被称为Ripple20的漏洞的集合,这些漏洞被用于各个行业的数亿个嵌入式设备中。