Μια ομάδα ερευνητών από το UC Irvine και το Πανεπιστήμιο Tsinghua ανέπτυξε μια νέα ισχυρή επίθεση που δηλητηριάζει τη μνήμη cache με την ονομασία “MaginotDNS”, η οποία στοχεύει σε resolvers Conditional DNS (CDNS) και μπορεί να θέσει σε κίνδυνο ολόκληρους domains ανωτάτου επιπέδου TLDs.
Δείτε επίσης: Lapsus$: Πώς χάκαραν μερικούς από τους μεγαλύτερους στόχους
Η επίθεση καθίσταται δυνατή χάρη στις ασυνέπειες στην εφαρμογή ελέγχων ασφαλείας σε διάφορα λογισμικά και τρόπους λειτουργίας server DNS (recursive resolvers και forwarders), αφήνοντας ευάλωτο περίπου το ένα τρίτο όλων των servers CDNS.
Οι ερευνητές παρουσίασαν την επίθεση και το έγγραφο νωρίτερα αυτή την εβδομάδα στο Black Hat 2023, αναφέροντας ότι τα προβλήματα που εντοπίστηκαν έχουν πλέον αποκατασταθεί σε επίπεδο λογισμικού.
Καταιγίδες μεγαλύτερες από τη Γη εντοπίστηκαν στον Δία
Black Basta ransomware: Όλες οι νέες τακτικές
Αποκαλύψεις για τον Μεγαλύτερο Κρατήρα του Φεγγαριού
DNS cache δηλητηρίαση στο υπόβαθρο
Το DNS (Domain Name System) είναι ένα ιεραρχικό και κατανεμημένο σύστημα ονοματοδοσίας για τους διαδικτυακούς πόρους και τα κυκλώματα, το οποίο βοηθά στην ανάλυση των ανθρώπινων ονομάτων domain σε αριθμητικές διευθύνσεις IP, ώστε να μπορεί να πραγματοποιηθεί μια σύνδεση στο δίκτυο.
Η διαδικασία επίλυσης DNS χρησιμοποιεί UDP, TCP και DNSSEC για την εκτέλεση ερωτημάτων και τη λήψη απαντήσεων. Μπορεί να είναι επαναληπτική και αναδρομική, περιλαμβάνοντας πολλαπλά βήματα και ανταλλαγές με root servers, TLD servers, authoritative servers, εγγραφές προσωρινής αποθήκευσης στην πορεία κ.λπ.
Η έννοια της δηλητηρίασης της cache DNS είναι η εισαγωγή πλαστών απαντήσεων στην cache του resolver DNS, με αποτέλεσμα ο server να κατευθύνει τους χρήστες που εισέρχονται σε έναν domain σε λανθασμένες διευθύνσεις IP, οδηγώντας τους ενδεχομένως σε κακόβουλους ιστότοπους εν αγνοία τους.
Πολλές επιθέσεις αυτού του τύπου έχουν παρουσιαστεί στο παρελθόν, όπως, για παράδειγμα, η επίθεση Kashpureff το 1997, η οποία εκμεταλλεύτηκε την έλλειψη επαλήθευσης δεδομένων (κανόνες bailiwick), και η επίθεση Kaminsky το 2008, η οποία εκμεταλλεύτηκε την απουσία συστήματος randomization source port.
Αυτές οι επιθέσεις έχουν περιοριστεί με την προσθήκη αμυντικών μηχανισμών στην υλοποίηση των resolvers, καθιστώντας τις off-path επιθέσεις δύσκολες.
Ωστόσο, η επίθεση “MaginotDNS” μπορεί να ξεπεράσει αυτές τις άμυνες, προσβάλλοντας τη λειτουργία προώθησης του CDNS είτε από το on-path είτε από το off-path.
Η επίθεση MaginotDNS
Τα CDNS resolvers υποστηρίζουν τόσο αναδρομικό όσο και προωθητικό τρόπο ερωτήματος, που χρησιμοποιείται από τους ISP και τις επιχειρήσεις για τη μείωση του κόστους και τον καλύτερο έλεγχο της πρόσβασης.
Οι ερευνητές διαπίστωσαν ότι οι έλεγχοι bailiwick επιβάλλονται επαρκώς στην αναδρομική λειτουργία- ωστόσο, ο προωθητής είναι ευάλωτος.
Επειδή οι δύο μοιράζονται την ίδια παγκόσμια cache DNS, μια επίθεση στη λειτουργία προώθησης μπορεί να ανοίξει το δρόμο για την παραβίαση της αναδρομικής λειτουργίας, σπάζοντας ουσιαστικά το όριο προστασίας της cache DNS.
Πρόταση: MoustachedBouncer: Επιθέσεις AiTM κατασκοπεύουν διπλωμάτες
Οι ερευνητές εντόπισαν ασυνέπειες στον έλεγχο του bailiwick γνωστού λογισμικού DNS, συμπεριλαμβανομένων των BIND9 (CVE-2021-25220), Knot Resolver (CVE-2022-32983), Microsoft DNS και Technitium (CVE-2021-43105).
Σε ορισμένες περιπτώσεις, παρατήρησαν διαμορφώσεις που αντιμετώπιζαν όλες τις εγγραφές σαν να βρίσκονταν κάτω από το root domain, μια ιδιαίτερα ευάλωτη ρύθμιση.
Τα παραδείγματα που παρουσίασαν οι ερευνητές κατά τη διάρκεια της παρουσίασής τους στο BlackHat περιλαμβάνουν τόσο επιθέσεις on-path όσο και off-path, με τη δεύτερη να είναι η πιο περίπλοκη αλλά και πολύ πιο πολύτιμη για τους δράστες.
Για αυτές τις επιθέσεις, ο δράστης πρέπει να προβλέψει τη θύρα προέλευσης και το αναγνωριστικό συναλλαγής που χρησιμοποιείται από τους αναδρομικούς DNS servers του στόχου κατά τη δημιουργία ενός αιτήματος και στη συνέχεια να χρησιμοποιήσει έναν κακόβουλο DNS server για να στείλει πλαστές απαντήσεις με τις σωστές παραμέτρους.
Η εξαγωγή συμπερασμάτων για τη θύρα πηγής και η εκτίμηση των αναγνωριστικών συναλλαγής μπορεί να γίνει με brute forcing ή με τη χρήση SADDNS (side-channel attacked DNS).
Για το BIND9, και οι δύο παράμετροι μπορούν να ανακτηθούν επιτυχώς μετά από 3.600 γύρους ερωτημάτων, ενώ για το Microsoft DNS, αυτό πέφτει στους 720 γύρους.
Για να αυξηθούν οι πιθανότητες επιτυχίας, ο δράστης πρέπει να ελέγχει το χρόνο απάντησης των κακόβουλων απαντήσεων DNS, ώστε να διασφαλίσει ότι η πλαστή απάντησή του φτάνει στο server του θύματος πριν από τη νόμιμη.
Οι ερευνητές μοιράστηκαν το ακόλουθο βίντεο που επιδεικνύει την επίθεση MaginotDNS στο Microsoft DNS.
Σάρωση για ευάλωτα CDNS
Οι ερευνητές σάρωσαν το διαδίκτυο και βρήκαν 1.200.000 DNS resolvers, εκ των οποίων οι 154.955 είναι CDNS servers.
Στη συνέχεια, χρησιμοποιώντας fingerprints λογισμικού για τον εντοπισμό ευάλωτων εκδόσεων, βρήκαν 54.949 ευάλωτους CDNS servers, οι οποίοι είναι όλοι ευάλωτοι σε επιθέσεις on-path και το 88,3% επηρεάζεται από επιθέσεις off-path.
Όλοι οι επηρεαζόμενοι προμηθευτές λογισμικού που αναφέρθηκαν παραπάνω έχουν επιβεβαιώσει και διορθώσει τα ελαττώματα και η Microsoft έχει απονείμει αμοιβή στους ερευνητές για την έκθεσή τους.
Ωστόσο, για να μετριαστούν πλήρως τα προβλήματα, οι διαχειριστές του CDNS πρέπει να εφαρμόσουν τις διορθώσεις και να ακολουθήσουν τις σωστές οδηγίες διαμόρφωσης που παρέχονται από τους προμηθευτές.
Διαβάστε επίσης: Dell Compellent: Hardcoded κλειδί εκθέτει τα admin credentials του VMware vCenter
πηγή πληροφοριών:bleepingcomputer.com