DNSpooq-haavoittuvuusjoukko laajalti käytössä olevassa dnsmasq-ohjelmistossa

dnsmasq on laajalti käytössä oleva, avoimen lähdekoodin paikallinen nimipalvelin. dnsmasq-ohjelmisto toimii paikallisena nimipalvelimena (DNS forwarder) yleensä koti- tai sisäverkon ja palveluntarjoajan nimipalvelimen välissä. Sen tehtävänä on myös pitää nimipalvelukyselyiden vastauksia välimuistissa, jotta usein käytettyjen palveluiden osoitetietoja ei tarvitse kysyä jokaista käyttäjää varten erikseen.

dnsmasq-ohjelmistoa käyttävät laitteissaan esimerkiksi Cisco, Aruba, Red Hat, Siemens, Ubiquiti, Comcast ja OpenWRT. Näiden lisäksi dnsmasq on sisällytetty moneen kotireitittimeen, IoT-laitteiseen sekä teollisen internetin ICS-laitteiseen.

Kaikkien näiden valmistajien kaikki laitteet eivät ole haavoittuvia. DNSpooq-haavoittuvuudet ilmenevät vain tietyillä ohjelmistoasetuksilla ja kun tietyt ominaisuudet on kytketty päälle.

Välimuistin manipulointi

Nimipalveluiden välimuistin manipulointi on hyökkäys, jossa käyttäjä saadaan tietämättään ottamaan yhteyttä hyökkääjän palvelimelle vaikka käyttäjä luulee ottavansa yhteyden pankkiinsa, sosiaalisen median palveluun tai sähköposteihinsa. Tämä hyökkäys tunnetaan myös “myrkytyshyökkäyksenä” (DNS cache poisoning).

Seuraavat DNSpooq-haavoittuvuudet liittyvät myrkytyshyökkäyksiin: CVE-2020-25686, CVE-2020-25684, CVE-2020-25685.

Tutkijoiden mukaan onnistunut myrkytyshyökkäys vaatii kaikkien kolmen haavoittuvuuden hyväksikäyttöä yhdessä. Lisäksi hyväksikäyttö vaatii noin puoli miljoonaa nimikyselyä hyvin pienessä ajassa.

Sellaiset dnsmasq-asennukset, joissa välimuistiominaisuudet eivät ole päällä, eivät ole haavoittuvia tälle hyväksikäytölle. Välimuistin kytkeminen pois päältä estää tämän haavoittuvuuden hyväksikäytön, mutta aiheuttaa lisäkuormaa verkon käytössä ja voi aiheuttaa viiveitä.

Tämä hyökkäys aiheuttaa suuren määrän nimipalvelukyselyitä, jotka on mahdollista havaita verkkotason monitoroinnilla.

Puskurin ylivuoto DNSSEC-käsittelyssä

DNSSEC on DNS-nimipalveluiden turvaominaisuus, jonka on tarkoitus estää aiemmin mainitut välimuistin myrkytyshyökkykset. dnsmasq-ohjelmiston DNSSEC-validoinnin käsittelyssä on kuitenkin löydetty neljä haavoittuvuutta, jotka itsessään aiheuttavat puskurin ylivuototilan. Puskurin ylivuototila voi johtaa palvelunestotilaan tai mielivaltaisen koodin suorittamiseen.

Seuraavat DNSpooq-haavoittuvuudet liityvät puskurin ylivuotoon DNSSEC-vastauksien käsittelyssä: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681.

Vain ne laitteet, joissa dnsmasq-ohjelmiston DNSSEC-validointi on kytketty päälle, ovat haavoittuvia. Vaikka DNSSEC-ominaisuuksien kytkeminen pois päältä poistaa haavoittuvuuden, tulee se tehdä harkiten. Ominaisuuksien poiskytkennässä menettää DNSSECin tuomat tietoturvahyödyt ja altistaa verkkonsa välimuistin myrkytyshyökkäyksille.

Yhteisvaikutus

Tutkijat ovat arvioineet yksittäisten DNSpooq-haavoittuvuuksien CVSSv3-vakavuuksiksi 4.0 - 8.1. Yhdistelemällä osaa haavoittuvuuksista yhdeksi kokonaisuudeksi, muodostuu ketjun vakavuudeksi 9.8.

Yhdysvaltojen tietoturvaviranomainen CISA on yhteisvakavuudesta eri mieltä ja antaa kokonaisuuden vakavuudeksi 8.1.