聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

以色列安全咨询公司 JSOF 披露了 Dnsmasq 中的被统称为“DNSpooq” 的7个漏洞，可被用于针对数百万受影响设备的 DNS 缓存投毒、远程代码执行和拒绝服务等攻击。

Dnsmasq 是一款流行的开源 DNS 转发软件，一般用于为物联网和多种其它嵌入式设备增加 DNS 缓存和 DHCP 服务器能力。

目前，尚不清楚使用易受攻击 Dnsmasq 版本的企业总数或企业名称。不过，JSOF 在报告中提到了40个厂商，包括安卓/谷歌、Comcast、思科、Redhat、Netgear、高通、Linksys、IBM、D-Link、戴尔、优倍快等。

DNSpooq 漏洞

其中三个漏洞（CVE-2020-25686、CVE-2020-25684 和 CVE-2020-25685）可导致 DNS 缓存投毒攻击（也被称为 DNS 欺骗）。

DNS 缓存投毒攻击可使威胁行动者替换设备上的 DNS 合法记录。通过这种攻击，威胁行动者能够将用户重定向至受控制的恶意服务器中，而对于访客而言，他们像在访问合法站点。这就使得攻击者能够执行钓鱼攻击、窃取凭据或从被认为可信的公司分发恶意软件。

首起DNS欺骗攻击由安全研究员 Dan Kaminsky 在2008年披露，他当时展示了可通过利用 DNS 软件窃取数据并模拟任意网站名称。

JSOF 在报告中解释称，“受陷流量包括常规的互联网浏览流量以及其它流量类型，如邮件、SSH、远程桌面、RDP 视频和音频通话、软件更新等。”理论上的攻击场景还包括 JavaScript DDoS、反向 DDoS 和可蠕虫攻击（经常切换网络的移动设备场景下）。

其余漏洞的编号为 CVE-2020-25687、CVE-2020-25683、CVE-2020-25682和CVE-2020-25681。它们可导致攻击者在配置 Dnsmasq 使用 DNSSEC 的易受攻击的网络设备上远程执行任意代码。

超100万台易受攻击的设备遭暴露

利用 DNSpooq 漏洞的攻击非常容易执行，无需任何特殊的技术或工具。JSOF 公司在技术白皮书中指出，“攻击可在数秒或数分钟内成功执行，且无任何特殊要求。我们还发现很多 dnsmasq 示例配置不当，可监听 WAN 接口，使得直接可从互联网执行攻击。“

从 Shodan 搜索结果可知，目前暴露在互联网上的 Dnsmasq 服务器超过100万台（BinaryEdge 的结果显示超过63万台），以及数以百万计的路由器、VPN和智能手机。

JSOF 公司指出，“其中一些 DNSpooq 漏洞可造成 DNS 缓存投毒后果，其中一个 DNSpooq 漏洞可导致潜在的远程代码执行后果，导致很多品牌的家庭路由器和其它网络设备遭接管，使数百万台设备受影响，以及100多万个实例直接暴露到互联网中。“

缓解措施

为更好地缓解利用 DNSpooq 缺陷的攻击，JSOF 公司建议将 Dnsmasq 软件更新至最新版本 (2.83 或后续版本)。

如客户无法立即更新 Dnsmasq，则可应用 JSOF 共享的多种缓解措施。

• 如果无必要，则将 dnsmasq 配置为不对 WAN 接口进行监听。

• 减少通过 option-dns-forward-max= 转发的最大数量的查询。默认值为150，但可被调低。

• 在获得补丁前，临时禁用 NDSSEC 验证选项。

• 使用为 DNS 提供传输安全的协议（如 DoT 或 DoH），这样做将缓解 Dnspooq，但可能带来其它安全和隐私风险。在此之前，考虑自己的设置、安全目标和风险。

• 减少 EDNS 信息的最大数量将可能缓解其中某些漏洞。然而，这种做法尚未得到证实，而且和相关的 RFC5625 的建议相悖。

去年，JSOF 公司还披露了Treck TCP/IP 栈中的19个漏洞，被统称为 “Ripple20”。该栈用于数亿台嵌入式设备中，遍布所有行业。

推荐阅读

12年前的 Linux bug 复活，DNS 缓存投毒攻击重现

比 Windows DNS 蠕虫漏洞更严重！SharePoint 反序列化RCE漏洞详情已发布，速修复

严重的 Windows DNS RCE漏洞 SIGRed PoC 已现身，微补丁发布

原文链接

https://www.bleepingcomputer.com/news/security/dnspooq-bugs-let-attackers-hijack-dns-on-millions-of-devices/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~