esenfrdeitptru

DNSpooq - ¡El ataque Kaminsky está de vuelta!

AS-009-2021

Fecha: 20/01/2021

Resumen:

Los laboratorios de investigación de JSOF reportan 7 vulnerabilidades encontradas en dnsmasq, un software de reenvío de DNS. Dnsmasq es muy popular, y se ha identificado que aproximadamente 40 proveedores utilizan dnsmasq en sus productos, así como las principales distribuciones de Linux.
El protocolo DNS tiene un historial de vulnerabilidades que se remontan al famoso ataque Kaminsky del año 2008. Sin embargo, una gran parte de Internet todavía depende del DNS como fuente de integridad.

DNSpooq

Dnspooq incluye vulnerabilidades de envenenamiento de caché DNS, así como una posible ejecución de código remoto entre otros. La lista de dispositivos que utilizan dnsmasq es larga y variada. Según la investigación basada en Internet, los usuarios prominentes de dnsmasq parecen incluir routers Cisco, teléfonos Android, dispositivos Aruba, Technicolor y Red-Hat, así como Siemens, redes Ubiquiti, Comcast, y otros. Dependiendo de cómo utilicen dnsmasq, los dispositivos pueden verse más o menos afectados, o también no estar afectados en absoluto.

DNSpooq demuestra que las implementaciones de DNS siguen siendo inseguras, incluso hoy en día, 13 años después que se describió el último ataque importante.

Dadas las vulnerabilidades en DNS a lo largo de los años, se podría pensar que los mecanismos de mejora de la seguridad que se han desarrollado en respuesta, serían omnipresentes por ahora. Sin embargo, en realidad, DNSSEC todavía no está muy ampliamente implementado, y Tampoco HSTS. Por ejemplo, según una investigación de 2017, la adopción de HSTS entre los sitios web más populares fue sólo de alrededor del 5%, alrededor del 15-20% del tráfico de Internet sigue sin cifrar, y los usuarios todavía hacen clic a través de sitios web inseguros.

Más de 1 millón de dispositivos vulnerables expuestos

Los ataques que explotan los errores de seguridad DNSpooq son bastante fáciles de llevar a cabo y no requieren ninguna técnica o herramienta inusual.

También encontramos que muchas instancias de dnsmasq están mal configuradas para escuchar en la interfaz WAN, haciendo que el ataque sea posible directamente desde Internet.

Más de 1 millón de servidores Dnsmasq están actualmente expuestos en Internet según Shodan y más de 630.000 según BinaryEdge, con millones de otros routers, VPN, smartphones, tabletas, módems, puntos de acceso, drones y equipos similares no accesibles a través de Internet también vulnerables a ataques.

Medidas de mitigación

Para mitigar completamente los ataques que intentan explotar los defectos de DNSpooq, JSOF aconseja actualizar el software Dnsmasq a la última versión (2.83 o posterior).

JSOF también comparte una lista de soluciones alternativas (parciales) para aquellos que no pueden actualizar inmediatamente Dnsmasq:

  • Configure dnsmasq para que no escuche en interfaces WAN si no es necesario en su entorno.
  • Reduzca el máximo de consultas que se pueden reenviar con la opción--dns-forward-max. El valor predeterminado es 150, pero podría reducirse.
  • Deshabilite temporalmente la opción de validación DNSSEC hasta que obtenga un parche.
  • Utilice protocolos que proporcionen seguridad de transporte para DNS (como DoT o DoH). Esto mitigará Dnspooq, pero puede tener otras implicaciones de seguridad y privacidad. Considere su propia configuración, objetivos de seguridad y riesgos antes de hacer esto.
  • Reducir el tamaño máximo de los mensajes EDNS probablemente mitigará algunas de las vulnerabilidades. Esto, sin embargo, no ha sido probado y va en contra de la recomendación del RFC5625 relevante.

Créditos

La divulgación de DNSpooq fue posible gracias a la coordinación de muchos participantes diferentes. Debe expresarse un agradecimiento especial por sus esfuerzos a:

  • Ayuda con la coordinación de la divulgación y solucionar esfuerzos: Vijay Sarvepalli (Centro de Coordinación CERT [Cert/CC])
  • Coordinación de divulgación y comunicación de vulnerabilidades:Eugenio Iavarone, Francesco Casotto y Xavier (Cisco)
  • Francis Perron y Mihai Maruseac (Google)
  • Petr Meník, Riccardo Schirone y Clifford Perry (Sombrero Rojo)
  • Dr. Dominic (DL6ER), Dan Schaper (Pi Hole)
  • Ayuda con el desarrollo de parches: Dan Schaper y el Dr. Dominic (DL6ER) de Pi-hole
    Petr Meník de Red Hat
  • Coordinación ICS-CERT: Daniel Larson (ICS-CERT)
  • Creación de parches y capacidad de respuesta de vulnerabilidad: Simon Kelley
  • Relaciones públicas y comunicaciones: Zachary Weiner
  • Comprobación: Ariel Schán de JSOF
  • Publicación y comunicación de divulgación: Sari Heyman de JSOF
  • Investigación: Moshe Kol y Shlomi Oberman de JSOF.

Referencias:

https://www.jsof-tech.com/disclosures/dnspooq/

https://www.jsof-tech.com/wp-content/uploads/2021/01/DNSpooq_Technical-Whitepaper.pdf

https://www.bleepingcomputer.com/news/security/dnspooq-bugs-let-attackers-hijack-dns-on-millions-of-devices/