UC Irvine ve Tsinghua Üniversitesi'nden bir araştırmacı ekibi, koşullu DNS (CDN) çözücülerini hedefleyen ve tüm TLDS üst düzey alanları tehlikeye atabilen 'Maginotdns' adlı yeni bir güçlü önbellek zehirlenmesi saldırısı geliştirdi.
Saldırı, farklı DNS yazılımı ve sunucu modlarında (özyinelemeli çözümleyiciler ve ileticiler) güvenlik kontrollerinin uygulanmasındaki tutarsızlıklar sayesinde mümkündür ve tüm CDNS sunucularının kabaca üçte birini savunmasız bırakır.
Araştırmacılar, bu hafta başlarında Black Hat 2023'te saldırı ve kağıdı sundular ve belirlenen sorunların şimdi yazılım düzeyinde düzeltildiğini bildirdi.
DNS (etki alanı adı sistemi), internet kaynakları ve ağlar için hiyerarşik ve dağıtılmış bir adlandırma sistemidir ve bir ağ bağlantısının yapılabilmesi için insan tarafından okunabilir alan adlarının sayısal IP adreslerine çözülmesine yardımcı olur.
DNS çözünürlük işlemi, sorguları gerçekleştirmek ve yanıt almak için UDP, TCP ve DNSSEC kullanır. Kök sunucuları, TLD sunucuları, yetkili sunucular, yol boyunca önbellekleme kayıtları vb. İle birden fazla adım ve değişim içeren yinelemeli ve özyinelemeli olabilir.
DNS önbellek zehirlenmesi kavramı, DNS çözücü önbelleğine dövme cevapları enjekte ediyor ve sunucunun bir alan adına yanlış IP adreslerine giren kullanıcıları yönlendirmesine ve potansiyel olarak bilgileri olmadan kötü amaçlı web sitelerine yönlendirmesine neden oluyor.
Bu türden birçok saldırı geçmişte gösterilmiştir, örneğin, 1997'de veri doğrulama eksikliğinden (Bailiwick kuralları) ve 2008'de Kaminsky saldırısının bir kaynağın yokluğundan yararlanan Keşpureff saldırısı gibi gösterilmiştir. Port randomizasyon sistemi.
Bu saldırılar, çözümleyicilerin uygulamasına savunma eklenerek hafifletildi ve yol dışı saldırıları zorlaştırdı.
Bununla birlikte, 'Maginotdns' saldırısı, CDN'lerin yönlendirme moduna yoldaki veya yol dışı olan bu savunmaların üstesinden gelebilir.
CDNS çözücüleri, maliyetleri azaltmak ve daha iyi erişim kontrolünü azaltmak için ISS'ler ve işletme tarafından kullanılan özyinelemeli hem de yönlendirme sorgu modlarını destekler.
Araştırmacılar, Bailiwick kontrollerinin özyinelemeli modda yeterince uygulandığını; Ancak, iletici savunmasızdır.
İkisi aynı Global DNS önbelleğini paylaştığından, iletici moduna bir saldırı, özyinelemeli modu ihlal etme yolunu açabilir ve esasen DNS önbellek koruma sınırını kırabilir.
Araştırmacılar, Bind9 (CVE-2021-25220), Knot Resolver (CVE-2022-32983), Microsoft DNS ve Techntium (CVE-2021-43105) dahil olmak üzere önde gelen DNS yazılımının Bailiwick kontrolünde tutarsızlıkları belirlediler.
Bazı durumlarda, tüm kayıtları kök etki alanı altın gibi davranan yapılandırmalara dikkat çekmişlerdir, son derece savunmasız bir kurulum.
Blackhat sunumları sırasında araştırmacılar tarafından sergilenen örnekler, hem yolda hem de yol dışı saldırıları içerir, ikincisi daha karmaşık ama aynı zamanda tehdit aktörleri için çok daha değerlidir.
Bu saldırılar için, tehdit oyuncusu, bir istek oluştururken hedefin özyinelemeli DNS sunucuları tarafından kullanılan kaynak bağlantı noktasını ve işlem kimliğini tahmin etmesi ve ardından doğru parametrelerle dövme yanıtları göndermek için kötü niyetli bir DNS sunucusu kullanması gerekir.
Kaynak bağlantı noktasının çıkarılması ve işlem kimliklerinin tahmin edilmesi, kaba zorlama veya SADDNS (yan kanal saldıran DNS) kullanılarak yapılabilir.
Bind9 için, her iki parametre de 3.600 sorgu turundan sonra başarıyla alınabilirken, Microsoft DNS için bu 720 mermi düşer.
Başarı şansını artırmak için, saldırgan, sahte yanıtlarının meşru olandan önce kurbanın sunucusuna ulaşmasını sağlamak için kötü niyetli DNS yanıtlarının cevap süresini kontrol etmelidir.
Araştırmacılar, Microsoft DNS'nin MaginotDNS saldırısını gösteren aşağıdaki videoyu paylaştılar.
Araştırmacılar interneti taradı ve 154.955'i CDNS sunucusu olan 1.200.000 DNS çözücü buldular.
Daha sonra, savunmasız sürümleri tanımlamak için yazılım parmak izleri kullanarak, hepsi yol içi saldırılara duyarlı olan ve% 88.3'ü yol dışı saldırılardan etkilenen 54.949 savunmasız CDNS sunucusu buldular.
Yukarıda belirtilen etkilenen tüm yazılım satıcıları kusurları doğruladı ve düzeltti ve Microsoft raporları için araştırmacılara bir ödül verdi.
Bununla birlikte, sorunların tam olarak hafifletilmesi için CDNS yöneticileri yamaları uygulamalı ve satıcılar tarafından sağlanan doğru yapılandırma yönergelerini izlemelidir.
Microsoft Visual Studio Code Flaw, uzantıların şifreleri çalmasına izin verir
Microsoft, herkes için Windows Kernel CVE-2023-32019 düzeltmesini etkinleştirir
Endüstriyel PLC'ler dünya çapında Codesys V3 RCE kusurlarından etkilendi
CISA: Barracuda ESG Hacks'de kullanılan yeni jakuzi arka kapı
Dell Compelent Sabit Kodlu Anahtar VMware vCenter Yönetici Kredileri
Kaynak: Bleeping Computer