Posté le novembre 20, 2021 à 19:45

DES CHERCHEURS DÉCOUVRENT LA RÉÉMERGENCE DES ATTAQUES PAR EMPOISONNEMENT DU CACHE DNS

Des chercheurs en sécurité ont découvert une nouvelle vulnérabilité dans le système DNS qui expose les fournisseurs à des attaques de réseau.

Selon des chercheurs de l’Université de Californie, Riverside, les hackers qui exploitent le bug peuvent potentiellement avoir accès à la connexion dans le serveur de noms et le résolveur DNS. Ils peuvent ainsi modifier les adresses IP liées à différents domaines web.

La vulnérabilité a été désignée sous le nom de CVE-2021-20322, et les recherches ont été présentées à la conférence ACM en Corée du Sud.

La vulnérabilité affecte les noyaux Linux et les logiciels DNS

Selon les chercheurs de l’Université de Californie Zhiyun Qian, Keyu Man et Xin’an Zhou, les hackers peuvent devenir un attaquant man-in-the-middle après avoir redirigé le trafic vers leur serveur. Cela leur permet d’écouter et d’altérer les communications envoyées au serveur d’origine.

La dernière vulnérabilité a un impact sur les logiciels DNS populaires tels que dnsmasq, Unbound et BIND fonctionnant sous Linux. Elle affecte également les noyaux Linux. Cependant, la faille n’affecte pas les logiciels DNS qui fonctionnent sur les systèmes d’exploitation Windows ou FreeBSD.

L’empoisonnement du cache DNS est une méthode par laquelle le cache du résolveur DNS reçoit des données corrompues, permettant aux requêtes DNS de renvoyer une réponse incorrecte pour un domaine de confiance. Les utilisateurs donc sont envoyés vers une mauvaise adresse contenant des données malveillantes.

L’attaque était initialement connue sous le nom d’attaque Kaminsky, du nom de Dan Kaminsky, le chercheur qui l’a découverte en 2008.

Le DNS SAD s’appuie sur le message ICMP « port unreachable » pour déterminer quel port interne est utilisé. Il est utilisé pour l’acheminement des erreurs et des réponses de diagnostic dans un réseau IP, sa fonction de limitation de débit fournissant une méthode pour restreindre la quantité de bande passante utilisée.

En général, une attaque typique implique que l’acteur de la menace envoie plusieurs sondes UDP usurpées qui contiennent l’adresse source falsifiée de la victime. Ces sondes peuvent être suffisamment perceptibles pour mettre en place la synchronisation du taux, en utilisant la méthode pour deviner l’ID de la transaction et réduire les ports ouverts.

Dans les méthodes d’attaque précédentes, le hacker utilise des sondes UDP pour savoir si un port UDP est ouvert ou fermé. Cependant, cette attaque par empoisonnement de cache DNS récemment découverte explore le canal secondaire directement via des paquets de redirection ICMP ou des fragments ICMP.

L’attaque n’a pas besoin du retour d’information d’une sonde ICMP

Les chercheurs ont également noté que les hackers n’ont pas besoin de dépendre du retour d’information d’une sonde ICMP pour poursuivre leurs attaques. Même lorsque le traitement de la sonde ICMP reste silencieux, l’attaque reste possible tant qu’il existe une ressource partagée.

La recherche actuelle s’appuie sur les attaques précédentes qu’ils ont découvertes et appelées « SADDNS ». Elle démontre que la limite de débit du système UDP peut être utilisée pour déduire le port des connexions au serveur de noms.

En outre, le point principal est le fait qu’une ressource partagée peut être utilisée pour délivrer des sondes usurpées et déterminer quel port éphémère est utilisé. Malheureusement, on ne sait pas combien de ces canaux secondaires sont encore actifs dans la pile réseau.

Certaines techniques d’atténuation sont disponibles

L’objectif principal de l’attaque est d’utiliser le petit nombre d’emplacements dans le cache d’exception global pour savoir s’il y a eu une mise à jour après le lot de sondes ICMP.

Les chercheurs ont fourni quelques techniques d’atténuation qui peuvent être utilisées pour éviter ces attaques. Il s’agit notamment de définir l’option de socket IP-PMTUDISC_OMIT, de rediriger le message de redirection ICMP ou de randomiser la structure du cache. La première stratégie consiste à demander au système d’exploitation de rejeter les messages ICMP frag.

Les chercheurs ont ajouté que le DNS est l’un des protocoles les plus anciens et les plus fondamentaux de l’internet, qui prend encore en charge de nombreux services et applications réseau. Cependant, il a été conçu sans mettre davantage l’accent sur la sécurité, ce qui le rend vulnérable à certains types d’attaques. Selon les chercheurs, les attaques par empoisonnement du cache DNS, très courantes, figurent parmi les principales formes d’attaques dont il est victime.

En outre, les chercheurs ont noté qu’il s’est avéré très difficile, au fil des ans, de mettre en place des dispositifs de sécurité solides.

La nouvelle attaque par empoisonnement du cache DNS de SAD rend vulnérables environ 38 % des serveurs de noms de domaine. Cela permet aux acteurs malveillants de rediriger facilement le trafic qui était initialement destiné à des sites Web légitimes. Une fois le trafic redirigé vers des serveurs sous leur contrôle, ils peuvent injecter des enregistrements DNS malveillants dans un cache DNS, notent les chercheurs.