Peneliti keamanan baru-baru ini mengungkapkan detail tentang tujuh kerentanan yang memengaruhi paket perangkat lunak DNS populer yang biasanya digunakan dalam peralatan jaringan, seperti router dan access point. Kerentanan dilacak sebagai DNSpooq, berdampak pada Dnsmasq, klien DNS forwarding untuk sistem operasi berbasis *NIX.
Dnsmasq biasanya disertakan dalam firmware dari berbagai perangkat jaringan untuk menyediakan kemampuan DNS forwarding dengan menerima permintaan DNS yang dibuat oleh pengguna lokal, meneruskan permintaan tersebut ke server DNS upstream, dan kemudian menyimpan hasilnya setelah mereka tiba, membuat hasil yang sama tersedia untuk klien lain tanpa perlu membuat kueri DNS baru di bagian upstream.
Meskipun peran mereka tampak tidak terlalu signifikan, mereka memainkan peran penting dalam mempercepat kecepatan internet dengan menghindari lalu lintas rekursif.
Saat ini, perangkat lunak tersebut telah tersedia di jutaan perangkat yang dijual di seluruh dunia, seperti perangkat Cisco, smartphone Android, dan semua jenis perlengkapan jaringan seperti router, access point, firewall, dan VPN dari perusahaan seperti ZTE, Aruba, Redhat, Belden , Ubiquiti, D-Link, Huawei, Linksys, Zyxel, Juniper, Netgear, HPE, IBM, Siemens, Xiaomi, dan lainnya.
Bagaimana DNSpooq Berkerja
Kerentanan DNSpooq, yang diungkapkan oleh peneliti keamanan dari JSOF, berbahaya karena dapat digabungkan untuk melakukan poisoning entri cache DNS yang direkam oleh server Dnsmasq.
Poisoning catatan cache DNS adalah masalah besar bagi administrator jaringan karena memungkinkan penyerang untuk mengarahkan pengguna ke klon situs web yang sah.
Misalnya, jika pelaku ancaman dapat menyalahgunakan serangan DNSpooq untuk melakukan poisoning entri cache DNS gmail.com di router Cisco sebuah perusahaan, mereka dapat mengarahkan semua karyawan perusahaan tersebut ke laman phishing Gmail namun browser mereka menunjukkan alamat gmail.com yang sah.
Secara total, tujuh kerentanan DNSpooq telah diungkapkan hari ini. Empat adalah buffer overflow dalam kode Dnsmasq yang dapat menyebabkan skenario remote code execution, sedangkan tiga kerentanan lainnya memungkinkan untuk melakukan poisoning cache DNS.
| Name | CVSS | Description |
|---|---|---|
| CVE-2020-25681 | 8.1 | Dnsmasq versions before 2.83are susceptible to a heap-based buffer overflow in sort_rrset() when DNSSEC is used. This can allow a remote attacker to write arbitrary data into target device’s memory that can lead to memory corruption and other unexpected behaviors on the target device. |
| CVE-2020-25682 | 8.1 | Dnsmasq versions before 2.83 are susceptible to buffer overflow in extract_name() function due to missing length check, when DNSSEC is enabled. This can allow a remote attacker to cause memory corruption on the target device. |
| CVE-2020-25683 | 5.9 | Dnsmasq versions before 2.83 are susceptible to a heap-based buffer overflow when DNSSEC is enabled. A remote attacker, who can create valid DNS replies, could use this flaw to cause an overflow in a heap-allocated memory. This flaw is caused by the lack of length checks in rfc1035.c:extract_name(), which could be abused to make the code execute memcpy() with a negative size in get_rdata() and cause a crash in dnsmasq, resulting in a Denial of Service. |
| CVE-2020-25687 | 5.9 | Dnsmasq versions before 2.83are vulnerable to a heap-based buffer overflow with large memcpy in sort_rrset() when DNSSEC is enabled. A remote attacker, who can create valid DNS replies, could use this flaw to cause an overflow in a heap-allocated memory. This flaw is caused by the lack of length checks in rfc1035.c:extract_name(), which could be abused to make the code execute memcpy() with a negative size in sort_rrset() and cause a crash in dnsmasq, resulting in a Denial of Service. |
| CVE-2020-25684 | 4 | A lack of proper address/port check implemented in dnsmasq versions < 2.83 reply_query function makes it easier to forge replies to an off-path attacker. |
| CVE-2020-25685 | 4 | A lack of query resource name (RRNAME) checks implemented in dnsmasq’s versions before 2.83 reply_query function allows remote attackers to spoof DNS traffic that can lead to DNS cache poisoning. |
| CVE-2020-25686 | 4 | Multiple DNS query requests for the same resource name (RRNAME) by dnsmasq versions before 2.83 allows for remote attackers to spoof DNS traffic, using a birthday attack (RFC 5452), that can lead to DNS cache poisoning. |
Dengan sendirinya, bahaya dari masing-masing kerentanan ini terbatas, tetapi para peneliti berpendapat bahwa mereka dapat digabungkan untuk menyerang perangkat apa pun dengan perangkat lunak Dnsmasq versi rentan.
Serangan dapat dilakukan dengan cukup mudah terhadap instalasi Dnsmasq yang terekspos di internet, tetapi tim JSOF memperingatkan bahwa perangkat di jaringan internal juga berisiko jika penyerang me-relay kode serangan melalui browser atau perangkat lain (yang disusupi) di jaringan yang sama.
Serangan tersebut mungkin terdengar sulit untuk dilakukan, tetapi menurut Shlomi Oberman, Chief Executive Officer di JSOF, mengatakan sebaliknya.
“Kerentanan poisoning cache DNSspooq tidak sulit untuk dilakukan dan merupakan jenis kerentanan yang, menurut pendapat kami, dapat dengan mudah diotomatiskan dan digunakan oleh botnet, malvertisers, phisers, dan lainnya,” kata Oberman.
“Tantangan utama bagi seseorang yang mengeksploitasi kerentanan ini dalam skala besar adalah bahwa mereka cukup ‘berisik’ sehingga mereka mungkin akan diperhatikan oleh ISP dan perusahaan lain dengan visibilitas luas ke lalu lintas internet,” CEO JSOF tersebut mengatakan.
Oberman menambahkan, serangan juga membutuhkan pengiriman banyak paket DNS ke perangkat yang ditargetkan, yang juga membutuhkan banyak waktu, dan selain itu, juga mengharuskan penyerang memiliki infrastruktur serangan yang memadai.
Meskipun demikian, ini bukan persyaratan yang sulit, dan Oberman yakin bahwa serangan DNSpooq berada dalam jangkauan geng kejahatan siber dan grup peretas yang disponsori negara (APT).
Baca Juga: “Kerentanan Ripple20 Membuat Miliaran Perangkat IoT Beresiko“
Cara termudah untuk mencegah serangan ini adalah dengan menerapkan pembaruan keamanan yang dirilis oleh proyek Dnsmasq.
Namun, banyak dari klien DNS forwarding Dnsmasq ini disertakan di dalam firmware produk lain, di mana konsumen biasa tidak dapat menjangkau dan memperbaruinya.
Oberman mengatakan bahwa perusahaannya telah bekerja dengan penulis proyek Dnsmasq dan beberapa mitra industri untuk memastikan perbaikan tersedia bagi vendor perangkat melalui pengungkapan kerentanan publik.
“Proses pengungkapan termasuk membentuk grup tugas yang terdiri dari perwakilan keamanan dan teknik dari Cisco, Google, Red-Hat, Pi Hole, CERT/CC, Simon Kelley (pengelola Dnsmasq), dan JSOF,” kata Oberman.
“Satgas terlibat dalam bagaimana mencatat kerentanan, bagaimana mengkomunikasikannya, dan juga menyarankan beberapa patch berbeda. Sekarang ada patch yang tersedia di bawah embargo, baik sebagai versi baru dan sebagai patch backport,” tambahnya.
CERT/CC dan ICS-CERT juga membantu mengoordinasikan pengungkapan DNSpooq kepada vendor lain yang tidak termasuk dalam gugus tugas asli. Meskipun beberapa vendor mungkin terlambat dalam mengintegrasikan perbaikan, sebagian besar vendor telah diberi tahu sekarang tentang tujuh kerentanan dan kebutuhan mereka untuk menerapkan perbaikan ke semua produk yang terpengaruh. Daftar vendor serta produk terpengaruh, dan patch (jika tersedia), bisa cek di situs web resmi DNSpooq.
