Οι επιθέσεις MaginotDNS εκμεταλλεύονται αδύναμους ελέγχους για δηλητηρίαση της κρυφής μνήμης DNS

Μια ομάδα ερευνητών από το UC Irvine και το Πανεπιστήμιο Tsinghua ανέπτυξε μια νέα ισχυρή επίθεση δηλητηρίασης προσωρινής μνήμης με το όνομα «MaginotDNS», η οποία στοχεύει τους αναλυτές Conditional DNS (CDNS) και μπορεί να θέσει σε κίνδυνο ολόκληρους τομείς TLD ανώτατου επιπέδου.

Η επίθεση έγινε δυνατή χάρη στις ασυνέπειες στην εφαρμογή ελέγχων ασφαλείας σε διαφορετικά προγράμματα λογισμικού DNS και λειτουργίες διακομιστή (αναδρομικοί επιλύτες και προωθητές), αφήνοντας ευάλωτο περίπου το ένα τρίτο όλων των διακομιστών CDNS.

Οι ερευνητές παρουσίασαν την επίθεση και χαρτί νωρίτερα αυτή την εβδομάδα στις Μαύρο Καπέλο 2023αναφέροντας ότι τα προβλήματα που εντοπίστηκαν έχουν πλέον αποκατασταθεί σε επίπεδο λογισμικού.

Υπόβαθρο δηλητηρίασης κρυφής μνήμης DNS

Το DNS (Domain Name System) είναι ένα ιεραρχικό και κατανεμημένο σύστημα ονοματοδοσίας για πόρους και δίκτυα Διαδικτύου, που βοηθά στην επίλυση ονομάτων τομέα που είναι αναγνώσιμα από τον άνθρωπο σε αριθμητικές διευθύνσεις IP, ώστε να μπορεί να πραγματοποιηθεί μια σύνδεση δικτύου.

Η διαδικασία επίλυσης DNS χρησιμοποιεί UDP, TCP και DNSSEC για την εκτέλεση ερωτημάτων και τη λήψη απαντήσεων. Μπορεί να είναι επαναληπτικό και αναδρομικό, να περιλαμβάνει πολλαπλά βήματα και ανταλλαγές με διακομιστές ρίζας, διακομιστές TLD, έγκυρους διακομιστές, αποθήκευση εγγραφών κατά τη διάρκεια της διαδρομής κ.λπ.

Η έννοια της δηλητηρίασης της κρυφής μνήμης DNS είναι η έγχυση πλαστών απαντήσεων στη μνήμη cache του επιλύτη DNS, αναγκάζοντας τον διακομιστή να κατευθύνει τους χρήστες που εισάγουν έναν τομέα σε εσφαλμένες διευθύνσεις IP, οδηγώντας τους ενδεχομένως σε κακόβουλους ιστότοπους χωρίς να το γνωρίζουν.

Πολλές επιθέσεις αυτού του τύπου έχουν αποδειχθεί στο παρελθόν, όπως, για παράδειγμα, η επίθεση Kashpureff το 1997, η οποία εκμεταλλεύτηκε την έλλειψη επαλήθευσης δεδομένων (κανόνες bailiwick) και η επίθεση Kaminsky το 2008 που εκμεταλλεύτηκε την απουσία πηγής σύστημα τυχαιοποίησης λιμένων.

Αυτές οι επιθέσεις έχουν μετριαστεί προσθέτοντας άμυνες στην εφαρμογή των επιλυτών, καθιστώντας τις επιθέσεις εκτός διαδρομής δύσκολες.

Ωστόσο, η επίθεση «MaginotDNS» μπορεί να ξεπεράσει αυτές τις άμυνες επιτιθέμενες στον τρόπο προώθησης του CDNS είτε από εντός είτε εκτός διαδρομής.

Η επίθεση MaginotDNS

Οι συσκευές επίλυσης CDNS υποστηρίζουν τόσο τις αναδρομικές όσο και τις λειτουργίες προώθησης ερωτημάτων, που χρησιμοποιούνται από τους ISP και την επιχείρηση για τη μείωση του κόστους και τον καλύτερο έλεγχο πρόσβασης.

Οι ερευνητές διαπίστωσαν ότι οι έλεγχοι bailiwick επιβάλλονται επαρκώς στην αναδρομική λειτουργία. Ωστόσο, ο αποστολέας είναι ευάλωτος.

Επειδή και τα δύο μοιράζονται την ίδια παγκόσμια προσωρινή μνήμη DNS, μια επίθεση στη λειτουργία προώθησης μπορεί να ανοίξει το μονοπάτι για παραβίαση της αναδρομικής λειτουργίας, σπάζοντας ουσιαστικά το όριο προστασίας της κρυφής μνήμης DNS.

Οι ερευνητές εντόπισαν ασυνέπειες στον έλεγχο με bailiwick εξέχοντος λογισμικού DNS, συμπεριλαμβανομένου του BIND9 (CVE-2021-25220), Επίλυση κόμβων (CVE-2022-32983), Microsoft DNS και Technitium (CVE-2021-43105).

Σε ορισμένες περιπτώσεις, σημείωσαν διαμορφώσεις που αντιμετώπιζαν όλες τις εγγραφές σαν να ήταν κάτω από τον ριζικό τομέα, μια πολύ ευάλωτη εγκατάσταση.

Τα παραδείγματα που παρουσίασαν οι ερευνητές κατά την παρουσίασή τους στο BlackHat περιλαμβάνουν επιθέσεις τόσο εντός όσο και εκτός διαδρομής, με τις τελευταίες να είναι οι πιο περίπλοκες αλλά και πολύ πιο πολύτιμες για τους παράγοντες απειλών.

Για αυτές τις επιθέσεις, ο παράγοντας απειλής πρέπει να προβλέψει τη θύρα προέλευσης και το αναγνωριστικό συναλλαγής που χρησιμοποιείται από τους αναδρομικούς διακομιστές DNS του στόχου κατά τη δημιουργία ενός αιτήματος και στη συνέχεια να χρησιμοποιήσει έναν κακόβουλο διακομιστή DNS για να στείλει πλαστές απαντήσεις με τις σωστές παραμέτρους.

Το συμπέρασμα της θύρας προέλευσης και η εικασία των αναγνωριστικών συναλλαγών μπορεί να γίνει με ωμή επιβολή ή με χρήση SADDNS (DNS με επίθεση στο πλευρικό κανάλι).

Για το BIND9, και οι δύο παράμετροι μπορούν να ανακτηθούν με επιτυχία μετά από 3.600 γύρους ερωτημάτων, ενώ για το Microsoft DNS, αυτό μειώνεται στους 720 γύρους.

Για να αυξήσει τις πιθανότητες επιτυχίας, ο εισβολέας πρέπει να ελέγξει τον χρόνο απάντησης των κακόβουλων αποκρίσεων DNS για να διασφαλίσει ότι η πλαστογραφημένη απόκρισή τους φτάνει στον διακομιστή του θύματος πριν από τη νόμιμη.

Οι ερευνητές μοιράστηκαν το παρακάτω βίντεο που δείχνει την επίθεση MaginotDNS στο Microsoft DNS.

Σάρωση για ευάλωτα CDNS

Οι ερευνητές σάρωσαν το διαδίκτυο και βρήκαν 1.200.000 αναλυτές DNS, εκ των οποίων οι 154.955 είναι διακομιστές CDNS.

Στη συνέχεια, χρησιμοποιώντας δακτυλικά αποτυπώματα λογισμικού για τον εντοπισμό ευάλωτων εκδόσεων, βρήκαν 54.949 ευάλωτους διακομιστές CDNS, όλοι εκ των οποίων είναι επιρρεπείς σε επιθέσεις εντός διαδρομής και το 88,3% επηρεάζονται από επιθέσεις εκτός διαδρομής.

Όλοι οι επηρεαζόμενοι προμηθευτές λογισμικού που αναφέρονται παραπάνω έχουν επιβεβαιώσει και επιδιορθώσει τα ελαττώματα και η Microsoft έχει απονείμει επιβράβευση στους ερευνητές για την έκθεσή τους.

Ωστόσο, για να μετριαστούν πλήρως τα ζητήματα, οι διαχειριστές CDNS πρέπει να εφαρμόσουν τις ενημερώσεις κώδικα και να ακολουθήσουν τις σωστές οδηγίες διαμόρφωσης που παρέχονται από τους προμηθευτές.