DNSpooq è la nuova serie di vulnerabilità DNS: attenzione a phishing, furto di credenziali, attacchi DDoS

DNSpooq è la nuova serie di vulnerabilità DNS: attenzione a phishing, furto di credenziali, attacchi DDoS

Individuate 7 vulnerabilità che riguardano un software DNS largamente usato dai produttori di dispositivi connessi e che rischia di mettere a repentaglio milioni di dispositivi

di pubblicata il , alle 15:41 nel canale Sicurezza
 

JSOF, società israeliana che opera nel campo della sicurezza informatica, ha rivelato oggi l'esistenza di sette vulnerabilità, note insieme con il nome di DNSpooq, riferite a Dnsamsq. Le vulnerabilità sono particolarmente gravi poiché consentono di effettuare attachi di tipo "DNS poisoning", esecuzione di codice da remoto e attacchi denial-of-service contro un bacino potenziale di miloni di dispositivi. Dnsmasq è un software open source implicato nell'inoltro di DNS e che permette di aggiungere funzionalità di DNS caching, server DHCP a dispositivi Internet of Things.

Attualmente Dnsmasq è largamente utilizzato nel settore e la sua diffusione non permette di poter stilare un elenco esaustivo di tutte le realtà che ne fanno uso. JSOF si è limitata a compilare un elenco di 40 realtà tra le più note, nel quale vediamo nomi come Android/Google, Asus, Cisco, Redhat, Netgear, Qualcomm, Linksys, IBM, D-Link, Dell, Huawei e Synology, giusto per citarne alcuni.

DNSpooq: sette vulnerabilità gravi mettono a rischio milioni di dispositivi

Nelle vulnerabilità DNSpooq ve ne sono tre, indicate dai codici CVE-2020-25686, CVE-2020-25684 e CVE-2020-25685, che permettono di eseguire attacchi di tipo "DNS cache poisoning" o "DNS spoofing". Questo genere di attacchi permette al perpetrante di sostituire i DNS su un dispositivo bersaglio con DNS arbitrari di sua scelta.

Piccolo passo indietro: DNS è l'acronimo di Domain Name Service e, sintetizzando, è il sistema che permette di tradurre i nomi di dominio dei siti web in indirizzi IP. Nella configurazione dei dispositivi connessi su internet è necessario specificare l'indirizzo IP di un "DNS server" che ha proprio il compito di effettuare questa "traduzione" consultando apposite tabelle.

Diventa evidente quindi come un attacco DNS Spoofing consente all'aggressore di re-indirizzare gli utenti verso server sotto il suo controllo, mentre l'utente ha l'impressione di visitare un sito web legittimo. In questo modo si apre la possibilità di eseguire attacchi phishing, furto di credenziali o distribuzione di malware da ciò che l'utente percepisce essere come una realtà affidabile. Il primo attacco di tipo DNS spoofing fu illustrato nel 2008 dal ricercatore di sicurezza Dan Kaminsky, il quale dimostrò che i software DNS possono essere sfruttati per rubare dati e contraffare l'indirizzo di qualsiasi sito web.

"Il traffico che potrebbe risultare compromesso include la normale navigazione in Internet, ma anche altre tipologie come le e-mail, le comunicazioni SSH, le funzionalità di desktop remoto, chiamate vocali, aggiornamenti software così via. Gli scenari di attacco possibili includono anche DDoS basato su JavaScript, DDoS inverso e attacchi wormable nel caso di dispositivi mobile che cambiano rete con regolarità" sottolinea JSOF nel suo resoconto.

Le altre vulnerabilità, contrassegnate dai codici CVE-2020-25687, CVE-2020-25683, CVE-2020-25682 e CVE-2020-25681, sono di tipo buffer overflow e permettono potenzialmente di eseguire codice da remoto su dispositivi di rete vulnerabili quando Dnsmasq è configurato per usare DNSSEC.

Ad aggravare la situazione è il fatto che gli attacchi perpetrabili sfruttando l'insieme delle vulnerabilità DNSpooq sono abbastanza semplici da condurre e non richiedono l'uso di strumenti insoliti o la conoscenza di tecniche particolari: "L'attacco può essere completato con successo in pochi secondi o pochi minuti e non richiede nulla di speciale. Abbiamo scoperto che molte istanze di Dnsmasq sono configurate in maniera errata per l'ascolto sull'interfaccia WAN, rendendo possibile l'attacco direttamente da Internet" precisa JSOF.

DNSpooq: risolvere aggiornando all'ultima versione o, se non è possibile, mitigare con alcune contromisure

Oltre 1 milione di server Dnsmasq sono esposti attualmente su Internet secondo Shodan, mentre sarebbero 630 mila secondo BinaryEdge, ma vi sarebbero milioni di router, VPN, smarthpone, tablet, sistemi di infotainment, modem, punti di accesso, droni e qualsiasi altro genere di apparecchiatura vulnerabile agli attacchi pur non essendo accessibile direttamente da Internet: "Alcune delle vulnerabilità DNSpooq permettono il DNS cache poisoning e una delle vulnerabilità potrebbe consentire l'esecuzione di codice remoto capace di acquisire molti brand di router domestici e altre apparecchiature di rete, con milioni di dispositivi interessati e oltre un milione di istanze direttamente esposte a Internet" ha dichiarato JSOF.

JSOF spiega che è possibile mettersi al riparo completmente dagli attacchi che tentano di sfruttare le vulnerabilità DNSpooq aggiornando il software Dnsmasq all'ultima versione disponibile che attualmente è la 2.83. Se, invece, non fosse possibile per qualsiasi motivo procedere tempestivamente all'aggiornamento di Dnsmasw, JSOF ha preparato una serie di possibili alternative che permettono di mitigare parzialmente il problema. Le riportiamo di seguito:

  • Configurare Dnsmasq in maniera da evitare l'ascolto su interfaccia WAN a meno che non sia necessario nell'ambiente operativo in cui ci si trova.
  • Ridurre il numero massimo di query che possono essere inoltrate tramite l'opzione dns-forward-max=. Il valore predefinito è 150, ma potrebbe essere utile abbassarlo.
  • Disattivare temporaneamente l'opzione di convalida DNSSEC fino a quando non è possibile installare una patch o aggiornare la vesione di DNSpooq.
  • Utilizzare protocolli che forniscono sicurezza del trasporto DNS (come DoT o DoH). Si tratta di una misura che può mitigare Dnspooq, che tuttavia potrebbe avere altre implicazioni su sicurezza e privacy a seconda della configurazione e dell'ambiente operativo.
  • Ridurre la dimensione dei messaggi EDNS potrebbe mitigare alcune delle vulnerabilità. E' una misura non testata ed è in contrasto con le raccomantazioni RFC5625.
1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
rejavi21 Gennaio 2021, 04:09 #1
oh che bello.. uso openwrt ed e' gia' tutto risolto 19.07.6 xD

https://openwrt.org/advisory/2021-01-19-1

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^