Vulnerabilidades en software program DNS well-liked permiten envenenamiento



Siete fallas en DNSMasq tienen un impacto limitado, pero en combinación se podrían encadenar para crear un ataque de varias etapas.

Un grupo de vulnerabilidades en el well known software DNSMasq utilizado para el almacenamiento en caché del sistema de nombres de dominio (DNS) y la asignación de direcciones IP podría permitir a un atacante desviar el tráfico de red o utilizar casi 1 millón de reenviadores abiertos en World wide web para ataques de denegación de servicio (DoS). .

Las vulnerabilidades, encontradas por la empresa de servicios de seguridad israelí JSOF y confirmadas por grandes firmas de tecnología como Google y Red Hat, incluyen tres vulnerabilidades que permiten el envenenamiento de la caché de DNS y cuatro vulnerabilidades de desbordamiento de búfer. Apodado DNSpooq, las vulnerabilidades podrían redirigir a las personas que utilizan el servicio de reenvío de DNS vulnerable, conocido como envenenamiento de caché de DNS, o usarse para hacerse cargo del dispositivo, JSOF declarado en un aviso.

Si bien podría ocurrir un ataque DoS o la toma de control del dispositivo, el envenenamiento de la caché de DNS también podría usarse para cometer fraude, dice Shlomi Oberman, CEO de JSOF.

«Si navega a un sitio website, pero en realidad se le dirige a otro sitio internet, podría haber todo tipo de fraude», dice. «El peor de los casos es el envenenamiento de la caché y un ataque de ejecución remota».

Una colección de fabricantes de software program y dispositivos ha abordado los problemas en un grupo de trabajo durante meses. Las vulnerabilidades afectan el program y los dispositivos de purple de al menos 16 proveedores, incluidos Cisco, Digi International, Netgear, Crimson Hat y Siemens. DNSMasq, que fue creado por el experto en redes Simon Kelley, solucionó los problemas hace unas cuatro semanas, pero lanzó la actualización, versión 2.83, el domingo, de acuerdo con los archivos de registro del proyecto.

Las fallas de envenenamiento de caché hacen que un ataque de redirección sea más probable pero no seguro, según declaraciones de Red Hat en su aviso.

«Estas fallas reducen sustancialmente la cantidad de intentos que tiene que hacer un atacante para adivinar el identificador de 16 bits y el puerto UDP específico utilizado para una consulta de DNS en individual», afirma la compañía. «Considerando que el ataque no es determinista y requiere algo de tiempo para adivinar la combinación correcta de valores, un atacante necesita un cliente dnsmasq para comenzar a realizar muchas consultas de DNS a un dominio elegido por el atacante».

El ataque tiene alguna relación con las vulnerabilidades generalizadas encontradas en el application DNS hace más de 13 años. A diferencia de los problemas más recientes, esas vulnerabilidades, encontradas por la investigación de seguridad Dan Kaminsky, fueron causado por problemas de diseño que podría explotarse en concierto. Si bien no ha habido ataques en la naturaleza con el último conjunto de vulnerabilidades, los atacantes comenzaron a usar el Vulnerabilidades de Kaminsky en ataques durante el mes, lo que sugiere que la utilidad de las fallas de envenenamiento de caché puede convertirlas en un problema de alta prioridad.

La amenaza que plantean las vulnerabilidades es incierta. En el pasado, los usuarios domésticos rara vez, o nunca, parcheaban sus enrutadores. Algunos proveedores de servicios de Internet y de dispositivos han mejorado su proceso de aplicación de parches, pero la aplicación de parches sigue siendo muy irregular, dice Shlomi.

«Esto es relativamente fácil de lograr y los enrutadores domésticos no se actualizan con tanta frecuencia», dice. «Así que probablemente las redes domésticas sean atacadas».

Los dispositivos Android también usan DNSMasq para enrutar el tráfico de la red cuando están en modo hotspot, dice Shlomi. Atacar esos dispositivos requeriría proximidad, lo que limitaría el impacto de las vulnerabilidades.

Las empresas, sin embargo, tienen que preocuparse por los trabajadores que se conectan desde casa a la pink empresarial y los servicios en la nube, pero que pueden tener un enrutador doméstico susceptible. La falta de visibilidad que tienen la mayoría de las empresas sobre la precise posición de seguridad de la fuerza laboral distribuida probablemente hará que las vulnerabilidades sean más difíciles de erradicar. Y los trabajadores que se conectan a la crimson corporativa a través de una red privada virtual podrían brindarle a un atacante un puente hacia la purple, dice Shlomi.

«El trabajo remoto lo hace mucho más difícil», dice. «A menudo, navegar solo en su sitio internet corporativo puede no ser tan seguro como navegar en sitios en Net porque su certificado puede ser autofirmado o no válido».

Las empresas también tienen que preocuparse de que los atacantes obtengan la capacidad de utilizar los servidores de reenvío DNS abiertos de Net para enrutar el tráfico hacia un ataque distribuido de denegación de servicio (DDoS) contra un objetivo específico.

«Los cálculos muestran que el tamaño del ataque podría estar en el mismo orden de magnitud que los mayores ataques DDoS realizados hasta la fecha», afirmó JSOF en su análisis.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Looking through, MIT&#39s Technology Critique, Popular Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary