Las fallas de DNSpooq permiten el secuestro de DNS de millones de dispositivos - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Las fallas de DNSpooq permiten el secuestro de DNS de millones de dispositivos

Hola, un placer verte por aquí. Te habla Eduardo Arroyo y esta vez hablaremos sobre Las fallas de DNSpooq permiten el secuestro de DNS de millones de dispositivos

Las fallas de DNSpooq permiten el secuestro de DNS de millones de dispositivos

Siete fallas en el software Dnsmasq de código abierto podrían permitir ataques de envenenamiento de caché DNS y ejecución remota de código.

Los investigadores descubrieron una serie de fallas en dnsmasq, un popular software de código abierto que se utiliza para almacenar en caché las respuestas del Sistema de nombres de dominio (DNS) para enrutadores y servidores domésticos y comerciales.

El conjunto de siete fallas incluye problemas de desbordamiento de búfer y fallas que permiten ataques de envenenamiento de caché de DNS (también conocido como suplantación de DNS). Si se explotan, estas fallas podrían encadenarse para permitir la ejecución remota de código, la denegación de servicio y otros ataques.

Los investigadores etiquetaron el conjunto de vulnerabilidades como «DNSpooq», una combinación de suplantación de DNS, el concepto de «un espectro que espía el tráfico de Internet» y la «q» al final de dnsmasq.

Haga clic para registrarse: se abre una nueva pestaña del navegador

«DNSpooq es una serie de vulnerabilidades encontradas en el omnipresente software de código abierto dnsmasq, que muestra que el DNS todavía es inseguro, 13 años después de la descripción del último gran ataque», dijeron los investigadores del laboratorio de investigación JSOF. en un análisis reciente.

Dnsmasq se instala en muchos enrutadores y servidores domésticos y comerciales en muchas organizaciones. El almacenamiento local por parte del software de respuestas a consultas DNS solicitadas previamente acelera el proceso de resolución de DNS; sin embargo, también tiene muchos otros usos, incluido el suministro de servicios DNS para admitir puntos de acceso Wi-Fi, redes corporativas para invitados, virtualización y bloqueo de anuncios.

Los investigadores han identificado al menos 40 proveedores que utilizan dnsmasq en sus productos, incluidos enrutadores Cisco, teléfonos Android, dispositivos Aruba, Technicolor y Red Hat, así como Siemens, redes Ubiquiti, Comcast y muchos más. En total, «millones» de dispositivos se ven afectados, dijeron.

Tres de las fallas (CVE-2020-25686, CVE-2020-25684 y CVE-2020-25685) podrían permitir el envenenamiento de la caché de DNS.

El envenenamiento de la caché de DNS es un tipo de ataque que permite subvertir las consultas de DNS. En una situación del mundo real, un atacante aquí podría usar respuestas de DNS no solicitadas para envenenar la caché de DNS, persuadir a los navegadores de Internet involuntarios a un sitio web propiedad de un atacante especialmente diseñado y luego redirigirlos a servidores maliciosos.

Esto podría conducir potencialmente a fraude y varios otros ataques maliciosos, si las víctimas creen que están navegando por un sitio web pero en realidad se dirigen a otro, dijeron los investigadores. Otros ataques podrían incluir ataques de phishing o distribución de malware.

«El tráfico que podría subvertirse incluye la navegación normal por Internet y otros tipos de tráfico, como correo electrónico, SSH, escritorio remoto, llamadas de voz y video RDP, actualizaciones de software, etc.», dijeron los investigadores.

Los investigadores también arrojaron luz sobre cuatro vulnerabilidades de desbordamiento de búfer (CVE-2020-25687, CVE-2020-25683, CVE-2020-25682 y CVE-2020-25681) en dnsmasq. Las fallas de corrupción de la memoria pueden ser provocadas por un atacante remoto usando respuestas DNS diseñadas. El ataque puede provocar la denegación de servicio, la exposición de la información y la ejecución de código potencialmente remoto.

Si bien la mayoría de estas fallas son problemas de desbordamiento de búfer basados ​​en el montón que podrían conducir a la denegación de servicio, una de las fallas es un problema de alta gravedad que podría permitir la ejecución remota de código cuando dnsmasq está configurado para utilice las Extensiones de seguridad del sistema de nombres de dominio (DNSSEC), un conjunto de protocolos que agregan una capa de seguridad al sistema de nombres de dominio.

«Para los desbordamientos de búfer y la ejecución remota de código, los dispositivos que no utilizan la función DNSSEC serán inmunes», dijeron los investigadores. «DNSSEC es una función de seguridad destinada a prevenir ataques de envenenamiento de caché, por lo que no recomendamos desactivarla, sino actualizar a la última versión de dnsmasq».

Los investigadores dijeron que los aproximadamente 1 millón de servidores dnsmasq abiertamente visibles en Internet (según Shodan) hacen que los ataques lanzados a través de Internet sean «muy simples» y que existen varios escenarios del mundo real que configuran a un atacante para explotar estas fallas.

«Esto puede ser posible en algunos casos (creemos que es raro), incluso si el reenviador no está abierto a Internet», dijeron.

Además, si un servidor dnsmasq está configurado solo para escuchar las conexiones recibidas desde dentro de una red interna, y un atacante se afianza en cualquier dispositivo de esa red, podría realizar el ataque. O, si un servidor dnsmasq está configurado solo para escuchar las conexiones recibidas de una red interna pero la red está abierta (incluida una red de aeropuerto o una red corporativa para invitados), un atacante podría realizar el ataque.

Los defectos varían en gravedad, siendo CVE-2020-25681 y CVE-2020-25682 de alta gravedad. Sin embargo, los investigadores dijeron que si estas vulnerabilidades estaban encadenadas, podrían dar lugar a una serie de ataques en varias etapas.

«Esto se debe a que la explotación de algunas de las vulnerabilidades facilita la explotación de otras», dijeron los investigadores. «Por ejemplo, descubrimos que la combinación de CVE-2020-25682, CVE-2020-25684 y CVE-2020-25685 daría como resultado que CVE-2020-25682 tuviera una menor complejidad de ataque (con el mismo impacto) y un resultado CVSS de 9,8 según nuestro análisis «.

Los investigadores revelaron las fallas en agosto y las revelaron públicamente este mes. Estas vulnerabilidades se abordan en dnsmasq 2,83; Los usuarios de Internet de las cosas (IoT) y los dispositivos integrados que utilizan dnsmasq deben ponerse en contacto con sus proveedores para obtener más información sobre las actualizaciones.

«Con la ayuda del CERT / CC y voluntarios de diferentes empresas, se formó un grupo de trabajo, combinando la experiencia y el alcance extendido de los miembros de JSOF, CERT / CC, Cisco, Google, Red Hat, Pi- Hole y Simon Kelley, el responsable de mantenimiento de dnsmasq, para garantizar que las vulnerabilidades de DNSpooq se resuelvan de manera eficaz, estén bien documentadas y se comuniquen «, dijeron los investigadores.

¿Está la cadena de suministro de software de su empresa lista para un ataque? El miércoles 20 de enero a las 2 p.m. ET, comience a identificar los puntos débiles en su cadena de suministro con el asesoramiento práctico de un experto, como parte de un seminario web de participación limitada y LIVE Threatpost. Se invita a CISO, AppDev y SysAdmin a preguntar a un grupo de expertos en ciberseguridad de primer nivel cómo pueden evitar quedar atrapados en un mundo posterior al hack de SolarWinds. La asistencia es limitada: reserve un asiento para este seminario web exclusivo de Threatpost Supply Chain Security, 20 de enero a las 2 p.m.

.

No te olvides compartir en una historia de tu Instagram para que tus amigos lo disfruten

??? ? ? ???

Comparte