Lista de recomendações, patches e atualizações da vulnerabilidade DNSpooq
Ontem, sete vulnerabilidades de Dnsmasq foram divulgadas, conhecidas coletivamente como DNSPooq , que os invasores podem usar para lançar envenenamento de cache DNS, negação de serviço e possivelmente ataques de execução remota de código nos dispositivos afetados.
Dnsmasq é um aplicativo de encaminhamento de Sistema de Nomes de Domínio (DNS) de código aberto amplamente usado, comumente instalado em roteadores, sistemas operacionais, pontos de acesso e outros equipamentos de rede.
Os fornecedores começaram a divulgar informações sobre como os clientes podem se proteger do DNSPooq. Para facilitar a localização dessas informações, o BleepingComputer listará os avisos de segurança à medida que forem lançados.
Os CVEs relacionados do comunicado DNSpooq da JSOF estão listados abaixo, junto com suas descrições.
| Nome | CVSS | Descrição |
|---|---|---|
| CVE-2020-25681 | 8,1 | Versões Dnsmasq anteriores a 2.83 são suscetíveis a um estouro de buffer baseado em heap em sort_rrset () quando DNSSEC é usado. Isso pode permitir que um invasor remoto grave dados arbitrários na memória do dispositivo de destino, o que pode causar corrupção de memória e outros comportamentos inesperados no dispositivo de destino. |
| CVE-2020-25682 | 8,1 | Versões Dnsmasq anteriores a 2.83 são suscetíveis a estouro de buffer na função extract_name () devido à falta de verificação de comprimento, quando DNSSEC está habilitado. Isso pode permitir que um invasor remoto cause corrupção de memória no dispositivo de destino. |
| CVE-2020-25683 | 5,9 | As versões Dnsmasq anteriores a 2.83 são suscetíveis a um estouro de buffer baseado em heap quando o DNSSEC está habilitado. Um invasor remoto, que pode criar respostas DNS válidas, pode usar essa falha para causar um estouro na memória alocada por heap. Esta falha é causada pela falta de verificações de comprimento em rfc1035.c: extract_name (), que pode ser abusada para fazer o código executar memcpy () com um tamanho negativo em get_rdata () e causar uma falha em dnsmasq, resultando em uma negação de serviço. |
| CVE-2020-25687 | 5,9 | As versões de Dnsmasq anteriores a 2.83 são vulneráveis a um estouro de buffer baseado em heap com memcpy grande em sort_rrset () quando DNSSEC está habilitado. Um invasor remoto, que pode criar respostas DNS válidas, pode usar essa falha para causar um estouro na memória alocada por heap. Esta falha é causada pela falta de verificações de comprimento em rfc1035.c: extract_name (), que poderia ser abusada para fazer o código executar memcpy () com um tamanho negativo em sort_rrset () e causar uma falha em dnsmasq, resultando em uma negação de serviço. |
| CVE-2020-25684 | 4 | A falta de verificação de endereço / porta adequada implementada nas versões dnsmasq |
| CVE-2020-25685 | 4 | A falta de verificações de nome de recurso de consulta (RRNAME) implementadas nas versões do dnsmasq antes de 2.83 a função reply_query permite que invasores remotos falsifiquem o tráfego DNS que pode levar ao envenenamento do cache DNS. |
| CVE-2020-25686 | 4 | Múltiplas solicitações de consulta DNS para o mesmo nome de recurso (RRNAME) por versões dnsmasq anteriores a 2.83 permitem que atacantes remotos falsifiquem o tráfego DNS, usando um ataque de aniversário (RFC 5452), que pode levar ao envenenamento do cache DNS. |
BleepingComputer sugere verificar esta página ao longo dos próximos dias para ver se novas informações estão disponíveis para os dispositivos que você pode estar usando.
Para obter informações mais detalhadas sobre as vulnerabilidades DNSpooq, você pode ler os artigos abaixo:
- Bugs DNSpooq permitem que invasores sequestrem DNS em milhões de dispositivos
- Aviso oficial DNSPooq da JSOF
- Artigo técnico DNSPooq da JSOF
- Dnsmasq é vulnerável a corrupção de memória e envenenamento de cache
Avisos oficiais, avisos, patches ou atualizações:
Abaixo está uma lista de avisos DNSPooq / dnsmasq lançados por diferentes fornecedores. O Centro de Coordenação CERT também mantém uma lista de recomendações compartilhada com eles.
Se você for um fornecedor com um aviso ou notificação, entre em contato conosco para que suas informações sejam adicionadas.
Última atualização: 20/01/21
Arista
O comunicado da Arista afirma que as vulnerabilidades DNSPooq afetam “todos os produtos EOS, incluindo os switches e roteadores das séries 7xxx e 7xx e todas as opções de pacotes CloudEOS”.
A Arista lançou atualizações que resolvem as vulnerabilidades e um hotfix se a atualização não for viável no momento.
Cisco
A Cisco divulgou um comunicado informando que 55 produtos e serviços são afetados pelas vulnerabilidades dnsmasq. Embora o software atualizado já esteja disponível para alguns produtos, muitos dispositivos afetados não terão correções até fevereiro e março.
Os usuários podem encontrar uma lista completa de produtos afetados e quando os patches estarão disponíveis no comunicado.
DNSMasq
Simon Kelley, o mantenedor do DNSpooq, postou um aviso para a lista de discussão Dnsmasq-discuss. Este aviso aconselha todos os usuários dnsmasq a atualizar para a versão 2.83 para resolver as vulnerabilidades.
Seu conselho completo está abaixo.
“Existem basicamente dois conjuntos de problemas. O primeiro são erros sutis nas proteções do dnsmasq contra a fraqueza crônica do protocolo DNS para ataques de envenenamento de cache; o ataque de aniversário, Kaminsky etc. O código agora é o mais seguro possível, dado que a solução real para isso é DNSSEC, tanto a validação de endpoint quanto a assinatura de domínios. Isso é coberto por CVE-2020-25684, CVE-2020-25685 e CVE-2020-25686.
Infelizmente, dado o exposto acima, o segundo conjunto de erros é um bom e velho estouro de buffer no código DNSSEC do dnsmasq. Se a validação DNSSEC estiver habilitada, uma instalação está em risco. Isso é coberto por CVE-2020-25681, CVE-2020-25682, CVE-2020-25683 e CVE-2020-25687.
Muitas, muitas pessoas trabalharam por um período considerável para encontrar esses problemas, corrigi-los e coordenar a resposta de segurança. Eles são mencionados na divulgação do JSOF, mas uma menção especial deve ir para Shlomi Oberman, Vijay Sarvepilli, Petr Menšík e Dan Schaper. “
OpenWRT
OpenWRT lançou um aviso explicando como você pode atualizar seu pacote dnsmasq para resolver a vulnerabilidade usando o seguinte comando:
opkg update; opkg upgrade $(opkg list-installed dnsmasq* | cut -d' ' -f1)Mais detalhes sobre como verificar se a atualização foi concluída com êxito podem ser encontrados no comunicado.
O comunicado também fornece mitigação baseada em configuração se você não puder atualizar seu roteador neste momento.
Netgear
A Netgear lançou um comunicado informando que os seguintes produtos são vulneráveis às vulnerabilidades DNSPooq dnsmaq:
- RAX40 executando versões de firmware anteriores a v1.0.3.88
- RAX35 executando versões de firmware anteriores a v1.0.3.88
Os proprietários da Netgear podem baixar o firmware atualizado para esses produtos na seção de suporte da NETGEAR .
Red Hat
A Red Hat lançou um comunicado hoje oferecendo conselhos de mitigação para várias versões do Red Hat Enterprise Linux.
É possível mitigar as vulnerabilidades no Red Hat 8.3 usando as opções de configuração dnsmasq. No entanto, as versões anteriores exigem que você atualize o pacote dnsmasq.
Siemens
A Siemens lançou um comunicado de segurança que afirma que o RuggedCom RM1224 e várias versões do Scalance são afetados pelas vulnerabilidades DNSPooq.
As atualizações ainda não estão disponíveis, mas a Siemens forneceu atenuações que podem ser aplicadas aos dispositivos para reduzir o risco.
Sophos
O aviso da Sophos afirma que seu produto Sophos RED é afetado pela vulnerabilidade DNSPooq. A Sophos afirma que o firmware Sophos RED atualizado para XG Firewall e SG UTM estará disponível em breve.
Synology
A Synology lançou um comunicado de segurança afirmando que seus sistemas operacionais DiskStation Manager (DSM) e Synology Router Manager (SRM) são vulneráveis apenas às vulnerabilidades de envenenamento de cache DNSPooq (CVE-2020-25684, CVE-2020-25685 e CVE-2020- 25686).
“Nenhum dos produtos da Synology é afetado por CVE-2020-25681, CVE-2020-25682, CVE-2020-25683 e CVE-2020-25687, já que essas vulnerabilidades afetam apenas quando o DNSSEC é compilado”, o conselho da Synology explica sobre as outras vulnerabilidades.
As vulnerabilidades no SRM 1.2 foram resolvidas na versão 1.2.4-8081-2 ou superior. Uma correção ainda não está disponível para o DSM 6.2.
Ubuntu
O Ubuntu publicou um aviso listando os pacotes disponíveis para o Ubuntu 16.04, 18.04, 20.04 e 20.10 que resolvem a vulnerabilidade.
Deve-se observar que “após uma atualização padrão do sistema, você precisa reinicializar o computador para fazer todas as alterações necessárias.”
