Уязвимости DNSpooq опасны для миллиона мобильных и сетевых устройств

Уязвимости DNSpooq опасны для миллиона мобильных и сетевых устройств

В программном продукте DNSMasq выявлено семь уязвимостей. Три из них позволяют подменить содержимое кеша DNS-сервера, четыре — удаленно выполнить вредоносный код. Пользователям рекомендуется обновить продукт до сборки 2.83.

Пакет DNSMasq позволяет поднять и быстро настроить в локальной сети форвард-сервер DNS с возможностью кеширования запросов, а также DHCP- или TFTP-сервер. Этот софт предназначен для использования в домашних сетях и на предприятиях малого бизнеса, использующих трансляцию сетевых адресов (NAT).

Уязвимости, которым присвоено общее имя DNSpooq, обнаружили исследователи из израильской компании JSOF. Подменой DNS грозят три из них — CVE-2020-25684, CVE-2020-25685 и CVE-2020-25686.

«Мы обнаружили, что DNSMasq уязвим к атакам отравлением кеша DNS из положения вне пути (при котором злоумышленник не видит обмен между DNS-ретранслятором и DNS-сервером), — пишут авторы находки. — Наша атака позволяет подменить сразу множество доменных имен посредством использования нескольких уязвимостей. Особых условий при этом не требуется, и успешный результат можно получить за считанные секунды или пару минут. Мы также обнаружили, что многие экземпляры DNSMasq неправильно сконфигурированы и слушают WAN-интерфейс, что позволяет провести атаку непосредственно из интернета».

 

Возможность подмены кеша DNS была доказана более десяти лет назад. Проблему многократно пытались решить разными способами, но она до сих пор актуальна. Разработанная в JSOF атака схожа с SAD DNS и тоже позволяет с успехом обойти спецзащиту — рандомизацию порта источника запроса. К счастью, подобные атаки очень шумные: отправка множества DNS-пакетов на целевое устройство не преминет привлечь внимание интернет-провайдера и организаций, ведущих мониторинг интернет-трафика.

Остальные четыре бага в DNSMasq классифицируются как переполнение буфера, грозящее удаленным исполнением произвольного кода. Взятые по отдельности, они не очень опасны, однако в комбинации с возможностью подмены DNS каждый из них может спровоцировать мощную атаку на локальную сеть.

В этом случае злоумышленник, по словам экспертов, сможет захватить контроль над роутерами и другими сетевыми устройствами, провести DDoS-атаку из сети, направив мусорный трафик на внешнюю мишень, и заблокировать доступ к определенным сайтам для всех пользователей сети.

Если уязвимый DNS-резолвер настроен на прием только внутренних соединений, вредоносный код можно привнести через точку доступа WiFi, браузер мобильного устройства или путем взлома какого-либо устройства в локальной сети.

Наличие проблем DNSpooq подтверждено для DNSMasq версий с 2.78 to 2.82. По состоянию на сентябрь 2020 года в интернете присутствует около 1 млн уязвимых устройств — Android-смартфонов, роутеров, файрволов, VPN от десятков вендоров. Среди последних числятся такие известные имена, как Cisco, Aruba, D-Link, Asus, Huawei, Linksys, Zyxel, Juniper, Netgear, Xiaomi, Red Hat, IBM, HPE, Siemens, Ubiquiti, Comcast.

Патчи включены в состав сборки DNSMasq 2.83, которую пользователей призывают непременно установить. Производителям затронутых устройств предстоит работа над обновлением прошивок, а пока их нет, владельцы уязвимого оборудования могут снизить риск эксплойта, ограничив количество DNS-запросов, проходящих через форвард-сервер, и защитив прямые соединения с внешними серверами DNS с помощью протокола DNS-over-HTTPS (DoH) или DNS-over-TLS (DoT).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Байден рвётся в кибербой: США пообещали атаки против России

Запад пообещал в ближайшее время провести ряд кибератак, нацеленных на ИТ-системы, связанные с российскими властями. Таким образом, это станет ответом на действия Москвы, которую США не раз обвиняли в атаках (ни разу, кстати, не подкрепив свои обвинения вменяемыми доказательствами).

О готовящихся операциях в киберпространстве сообщило издание New York Times. Согласно опубликованной информации, «под раздачу» попадёт и Китай, в сторону которого также часто звучат обвинения в кибернападениях на сети США.

Вашингтон, судя по всему, считает, что проведение подобных ответных операций наглядно продемонстрирует странам-оппонентам отношение Байдена к противостоянию в цифровом пространстве. Дескать, мы тут не церемонимся.

Первые крупные шаги в этом направлении, по словам New York Times, Америка сделает в течение трёх недель. Вдогонку к кибератакам США пообещали подготовить ряд экономических санкций, которые также станут ответом на хакерские действия со стороны Кремля.

Напомним, что в конце октября 2020 года Запад обвинил российских киберпреступников во взломе государственных систем. В частности, участие Кремля в этой кибероперации подтвердили представители Агентства кибербезопасности и защиты инфраструктуры (CISA) США и ФБР.

В том же месяце президент России Владимир Путин выразил надежду на взаимодействие с США по части обеспечения кибербезопасности обеих стран. Глава РФ при этом подчеркнул, что Вашингтон ранее проигнорировал призыв возобновить сотрудничество в сфере кибербезопасности.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru