Telecom News - מערך הסייבר הלאומי: חזרתה של מתקפת DNS Cache Poisoning

מערך הסייבר הלאומי: חזרתה של מתקפת DNS Cache Poisoning

דף הבית >> חדשות אבטחה ועולם הסייבר >> מערך הסייבר הלאומי: חזרתה של מתקפת DNS Cache Poisoning
מערך הסייבר הלאומי: חזרתה של מתקפת DNS Cache Poisoning
מאת: מערכת Telecom News, 16.11.20, 11:05CYBER FREE

לאחרונה פורסם מחקר לגבי חידוש האפשרות לביצוע תקיפות מסוג Cache Poisoning כנגד שרתי DNS. איך מתמודדים?
      
ב-2008 פרסם החוקר דן קמינסקי מידע לגבי האפשרות לבצע תקיפות מסוג DNS Cache poisoning.

התקיפה מאפשרת לתוקף להזין כתובות IP של שרתים בשליטתו לשרתי DNS המבצעים Caching לשיפור הביצועים, וכך לגרום להסטת התעבורה לשרתים אלה.

מימוש התקיפה עלול לאפשר תקיפות התחזות (Spoofing) או יירוט תעבורה מסוג MITM (Man In The Middle).

התקיפות התבססו על כך, ששדה Transaction ID בשאילתת DNS יכול להכיל רק K65 ערכים.

בתגובה למתקפה זו, החלו שרתי DNS לבצע שאילתות DNS באמצעות פורטים אקראיים. כך, שכעת התוקף נאלץ למצוא גם את ה-Transaction ID וגם את פורט המקור של התעבורה, דבר שהפך את המתקפה לבלתי מעשית.

לאחרונה גילו חוקרים, שניתן לזהות את פורטי המקור של תעבורת ה-DNS באמצעות Side Channel Attack המתבססת על פניות מהירות לכ-1000 פורטים בשנייה, וניתוח תעבורת ה-ICMP הנגרמת כתוצאה מפניות אלו.

אם המתקפה מצליחה ופורט המקור מזוהה, ניתן לבצע את מתקפת ה-DNS Cache Poisoning הקלסית מ-2008.

מקור הפגיעות בשימוש בערך קבוע וידוע עבור ה- ICMP Global Rate Limit.

הפגיעות קיבלה את הזיהוי CVE-2020-25705 ואת הכינוי SAD DNS.

מערכות ההפעלה הפגיעות כוללות גרסאות שונות של מערכות ההפעלה Windows, MacOS, Linux, FreeBSD:
Linux 3.18-5.10
Windows Server 2019 (version 1809) and newer
macOS 10.15 and newer
FreeBSD 12.1.0 and newer
  
עבור מערכות ההפעלה, שאינן לינוקס, לא נבדקו גרסאות ישנות יותר, וייתכן שגם הן פגיעות.
 
המחקר דיווח, שמבחינה, שערכו החוקרים, עולה, שכ-34% מהשרתים הרלוונטיים באינטרנט פגיעים.
 
דרכי התמודדות:
 
עבור מערכות הפעלה, שהוצא עבורן עדכון למתקפה זו, מומלץ לבחון ולהתקין בהקדם האפשרי את עדכון האבטחה. העדכון מבוסס על ערך אקראי ל-ICMP Global Rate Limit.

אם עדיין לא הוצא עדכון למערכת ההפעלה שבשימושכם, ניתן זמנית לנטרל את המתקפה עד להתקנת עדכון באמצעות חסימת תעבורת ICMP יוצאת משרת ה-DNS. מומלץ לבחון נטרול הודעות ICMP Port Unreachable  יוצאות בלבד, ולא את כל פרוטוקול ICMP.

אם ניתן להפעיל אחד מהשירותים, שנועדו לאבטחת DNS, כגון DNSSEC או DNS Cookie, הם יכולים לסייע במניעת המתקפה.

הקטנת ערך ה-Timeout לשאילתות של שרת ה-DNS עשויה לסייע במניעת המתקפה, אך עלולה להגדיל את התעבורה והעומס על השרת.
 
NORDVPN



 
 
Bookmark and Share