Около 38% DNS-серверов уязвимы к новой форме атаки, которая позволяет киберпреступникам перенаправлять жертв на вредоносные сайты, замаскированные под популярные легитимные ресурсы (например, bankofamerica.com или gmail.com).
Речь идёт о старой доброй атаке класса «DNS cache poisoning», которую исследователь Дэн Камински представил ещё в 2008 году на Black Hat. Смысл в том, что атакующий может подменить IP-адрес за счёт маскировки под авторитетный DNS-сервер и флуда DNS-резолвера.
Эксперты Калифорнийского университета в Риверсайде ещё раз напомнили пользователям и организациям об угрозе, опубликовав новое исследование (PDF).
«Мы провели анализ поверхности атаки, на которую ранее никто не обращал внимания. В результате нам удалось обнаружить даже более опасную форму атаки по сторонним каналам, которая существовала в ядре Linux более десяти лет», — пишут специалисты.
«Стоит отметить, что этот вектор затрагивает не только Linux, но и целый спектр DNS-софта, который работает на этой операционной системе: BIND, Unbound и dnsmasq. Помимо этого, мы выявили около 38% открытых резолверов и 14% уязвимых IP-бэкендов, включая популярные DNS-сервисы вроде OpenDNS и Quad9».
Описанная форма атаки по сторонним каналам подразумевает использование протокола Internet Control Message Protocol (ICMP), который обычно задействуется для отправки сообщений об ошибке и статусе между двумя серверами.
«Нам удалось обнаружить, что обработка ICMP-сообщений в Linux использует общие ресурсы слишком предсказуемо. Это позволяет потенциальному злоумышленнику приблизительно вычислить число портов DNS-запроса и провести атаку вида "DNS cache poisoning"», — объяснили исследователи.
