Les failles DNSpooq permettent de prendre le contrôle des DNS

Des chercheurs ont découvert un ensemble de failles dans dnsmasq, le logiciel open source populaire utilisé pour la mise en cache des réponses DNS (Domain Name System) pour les routeurs et serveurs domestiques et commerciaux.

Cet ensemble de sept failles inclut des problèmes de dépassement de la mémoire tampon et des failles permettant des attaques d’empoisonnement du cache DNS (également appelées DNS spoofing). Si elles sont exploitées, ces failles pourraient être assemblées pour permettre l’exécution de code à distance, le déni de service et d’autres attaques.

Les chercheurs ont nommé cet ensemble de vulnérabilités «DNSpooq».

dns microsoft

«DNSpooq est une série de vulnérabilités trouvées dans le logiciel open source omniprésent dnsmasq, démontrant que le DNS n’est toujours pas sécurisé, 13 ans après la description de la dernière attaque majeure», ont déclaré des chercheurs du laboratoire de recherche JSOF, dans une analyse récente.

Dnsmasq est installé sur de nombreux routeurs et serveurs domestiques et commerciaux dans de nombreuses organisations. Le stockage des réponses de précédentes requêtes DNS accélère localement le processus de résolution de noms de domaines. Cependant, le logiciel a d’autres fonctions, comme la possibilité de services qui permettent de prendre en charge les points d’accès Wi-Fi, les réseaux d’invités d’entreprise, la virtualisation et le blocage des publicités.

Les chercheurs ont identifié au moins 40 fournisseurs qui utilisent dnsmasq dans leurs produits, notamment des routeurs Cisco, des téléphones Android, des appareils Aruba, Technicolor et Red Hat, ainsi que Siemens, les réseaux Ubiquiti, Comcast et bien d’autres. En tout, «des millions» d’appareils sont concernés, ont-ils déclaré.

L’empoisonnement de cache DNS

Trois des failles (CVE-2020-25686, CVE-2020-25684 et CVE-2020-25685) pourraient activer l’empoisonnement de cache DNS.

L’empoisonnement de cache DNS est un type d’attaque qui permet de perturber les requêtes DNS. Dans une situation réelle, un attaquant pourrait utiliser des réponses DNS pour empoisonner le cache DNS, diriger des navigateurs Internet vers un site Web appartenant à un attaquant, puis les rediriger vers des serveurs malveillants.

Cela pourrait potentiellement conduire à des fraudes et à diverses autres attaques malveillantes, si les victimes pensent qu’elles naviguent sur un site Web mais sont en fait dirigées vers un autre. Les autres attaques possibles sont les attaques d’hameçonnage ou la distribution de logiciels malveillants.

«Le trafic susceptible d’être troublé inclut la navigation Internet régulière ainsi que d’autres types de trafic, tels que les e-mails, le SSH, le travail à distance, les appels vidéo et vocaux RDP, les mises à jour logicielles, etc.», ont déclaré les chercheurs.

Le dépassement de tampon

Les chercheurs ont également mis en lumière quatre vulnérabilités de dépassement de mémoire tampon (CVE-2020-25687, CVE-2020-25683, CVE-2020-25682 et CVE-2020-25681) dans dnsmasq. Les failles de corruption de mémoire peuvent être déclenchées par un attaquant distant à l’aide de réponses DNS spécialement conçues. L’attaque peut entraîner un déni de service, une exposition d’informations et potentiellement l’exécution de code à distance.

Alors que la majorité de ces failles sont des problèmes de dépassement de mémoire tampon qui pourraient conduire à un déni de service, l’une des failles est un problème de haute gravité qui pourrait potentiellement permettre l’exécution de code à distance lorsque dnsmasq est configuré pour utiliser les extensions de sécurité du système de nom de domaine (DNSSEC), un ensemble de protocoles qui ajoutent une couche de sécurité au système de noms de domaine.

“Pour les dépassements de tampon et l’exécution de code à distance, les appareils qui n’utilisent pas la fonction DNSSEC seront immunisés”, ont déclaré les chercheurs. «DNSSEC est une fonctionnalité de sécurité destinée à empêcher les attaques d’empoisonnement de cache et nous ne recommandons donc pas de la désactiver, mais plutôt de mettre à jour vers la dernière version de dnsmasq.»

Les chercheurs ont déclaré que les quelque 1 million de serveurs dnsmasq visibles sur Internet (selon Shodan) rendent les attaques lancées via Internet «très simples», et qu’il existe plusieurs scénarios qui permettent à un pirate informatique d’exploiter ces failles.

De plus, si un serveur dnsmasq est uniquement configuré pour écouter les connexions reçues à partir d’un réseau interne – et qu’un hacker a le contrôle sur n’importe quel périphérique de ce réseau – il pourra effectuer l’attaque. Ou, si un serveur dnsmasq est uniquement configuré pour écouter les connexions reçues depuis un réseau interne mais que le réseau est ouvert (y compris un réseau d’aéroport ou un réseau d’invité d’entreprise), un attaquant pourrait effectuer l’attaque.

L’impact des failles DNSpooq

Les failles ont une gravité variable, CVE-2020-25681 et CVE-2020-25682 étant de gravité élevée. Cependant, les chercheurs ont déclaré que si ces vulnérabilités étaient associées, elles pourraient conduire à une série d’attaques en plusieurs étapes.

«En effet, l’exploitation de certaines des vulnérabilités facilite l’exploitation d’autres», ont déclaré les chercheurs. «Par exemple, nous avons constaté que la combinaison de CVE-2020-25682, CVE-2020-25684 et CVE-2020-25685 cause CVE-2020-25682 avec une moindre complexité d’attaque (avec le même impact) et un score CVSS de 9,8 sur 10 selon notre analyse. »

Les chercheurs ont révélé les failles au mois d’Août 2020 et les ont publiquement révélées ce mois-ci. Ces vulnérabilités sont corrigées dans dnsmasq 2.83. Les utilisateurs de l’IoT et des appareils embarqués qui utilisent dnsmasq doivent contacter leurs fournisseurs pour plus d’informations sur les mises à jour.

«Avec l’aide du CERT/CC et des bénévoles de plusieurs entreprises, un groupe de travail a été formé, combinant l’expertise et la portée étendue de membres de JSOF, CERT/CC, Cisco, Google, Red Hat, Pi-hole et Simon Kelley, le mainteneur de dnsmasq, pour garantir que les vulnérabilités DNSpooq soient efficacement corrigées, bien documentées et communiquées », ont déclaré les chercheurs.

Si cet article vous a plu, jetez un œil notre article précédent.

Partagez cet article!

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires