Todo lo que debes saber sobre las graves vulnerabilidades de DNSpooq
El miércoles se revelaron siete vulnerabilidades de Dnsmasq, conocidas colectivamente como DNSPooq. Estas pueden ser utilizadas por los atacantes para lanzar ataques de envenenamiento de caché DNS, denegación de servicio. Y, posiblemente ataques de ejecución remota de código en los dispositivos afectados.
Dnsmasq es una aplicación de reenvío de sistema de nombres de dominio (DNS) de código abierto. Es ampliamente utilizada y se instala comúnmente en enrutadores, sistemas operativos, puntos de acceso y otros equipos de red.
Los proveedores han comenzado a publicar información sobre cómo los clientes pueden protegerse de DNSPooq. Para que sea más fácil encontrar esta información, estamos listando los avisos de seguridad a medida que se han publicado.
Las CVE’s (Vulnerabilidades y exposiciones comunes) relacionadas del aviso DNSpooq de JSOF se muestran a continuación, junto con sus descripciones.
| Nombre | CVSS | Descripción |
| CVE-2020-25681 | 8.1 | Las versiones de Dnsmasq anteriores a la 2.83 son susceptibles a un desbordamiento de búfer en sort_rrset () cuando se utiliza DNSSEC. Esto puede permitir que un atacante remoto escriba datos arbitrarios en la memoria del dispositivo de destino, lo que puede provocar daños en la memoria. Y, otros comportamientos inesperados en el dispositivo de destino. |
| CVE-2020-25682 | 8.1 | Las versiones de Dnsmasq anteriores a la 2.83 son susceptibles de desbordamiento de búfer en la función extract_name(). Esto debido a la falta de verificación de longitud, cuando DNSSEC está habilitado. Esto puede permitir que un atacante remoto provoque daños en la memoria del dispositivo de destino. |
| CVE-2020-25683 | 5.9 | Las versiones de Dnsmasq anteriores a la 2.83 son susceptibles a un desbordamiento de búfer cuando DNSSEC está habilitado. Un atacante remoto, que puede crear respuestas DNS válidas, podría usar esta falla para causar un desbordamiento en una memoria. Esta vulnerabilidad se debe a la falta de comprobaciones de longitud en rfc1035.c:extract_name(). Dicha vulnerabilidad podría explotarse para hacer que el código ejecute memcpy() con un tamaño negativo en get_rdata(). Y, provocar un bloqueo en dnsmasq, lo que resultará en una negación de servicio. |
| CVE-2020-25687 | 5.9 | Las versiones de Dnsmasq anteriores a la 2.83 son vulnerables a un desbordamiento de búfer con memcpy en sort_rrset() cuando DNSSEC está habilitado. Un atacante remoto, que puede crear respuestas DNS válidas, podría usar esta vulnerabilidad para causar un desbordamiento en una memoria. Esta vulnerabilidad es causada por la falta de verificaciones de longitud en rfc1035.c:extract_name(). Dicha vulnerabilidad podría explotarse para hacer que el código ejecute memcpy()en sort_rrset(). Y, causar un bloqueo en dnsmasq, lo que resultará en una Denegación de servicio. |
| CVE-2020-25684 | 4 | Falta de verificación de dirección/puerto adecuado implementada en versiones de dnsmasq |
| CVE-2020-25685 | 4 | La falta de comprobaciones de nombre de recurso de consulta (RRNAME) implementadas en las versiones de dnsmasq anteriores a la función 2.83 reply_query. Esto permite a los atacantes remotos falsificar el tráfico de DNS que puede conducir al envenenamiento del caché de DNS. |
| CVE-2020-25686 | 4 | Varias solicitudes de consulta de DNS para el mismo nombre de recurso (RRNAME) por parte de las versiones de dnsmasq anteriores a la 2.83. Esto permite que los atacantes remotos falsifiquen el tráfico de DNS, utilizando un ataque que puede conducir al envenenamiento de la caché de DNS. |
Te sugerimos estar pendiente durante los próximos días para ver si hay nueva información disponible para los dispositivos que estés utilizando.
Avisos, noticias, parches o actualizaciones oficiales:
A continuación, se muestra una lista de avisos de DNSPooq/dnsmasq publicados por diferentes proveedores. El Centro de Coordinación del CERT también mantiene una lista de avisos compartidos con ellos.
Arista
El aviso de Arista establece que las vulnerabilidades DNSPooq afectan a “todos los productos EOS, incluidos los switches y enrutadores de las series 7xxx y 7xx. Asimismo, todas las opciones de empaquetado de CloudEOS”.
Arista ha publicado actualizaciones que resuelven las vulnerabilidades y una revisión si la actualización no es factible en este momento.
Cisco
Cisco publicó un aviso que indica que 55 productos y servicios se ven afectados por las vulnerabilidades dnsmasq. Si bien el software actualizado ya está disponible para algunos productos, muchos dispositivos afectados no tendrán correcciones hasta febrero y marzo.
Los usuarios pueden encontrar una lista completa de los productos afectados y cuándo estarán disponibles los parches en el aviso.
DNSMasq
Simon Kelley de DNSpooq, ha publicado un aviso. Este aviso advierte a todos los usuarios de dnsmasq actualizar a la versión 2.83 para resolver las vulnerabilidades.
Su aviso completo lo puedes leer a continuación:
“En términos generales, existen dos conjuntos de problemas. El primero son errores sutiles en las protecciones de dnsmasq contra la debilidad crónica del protocolo DNS frente a ataques de envenenamiento de caché. El ataque Birthday, Kaminsky, etc. El código ahora es tan seguro como puede ser, dado que la solución real a esto es DNSSEC, tanto la validación del endpoint como la firma de dominios. Esto está cubierto por CVE-2020-25684, CVE-2020-25685 y CVE-2020-25686.
Desafortunadamente, dado lo anterior, el segundo conjunto de errores es un buen desbordamiento de búfer en el código DNSSEC de dnsmasq. Si la validación de DNSSEC está habilitada, una instalación está en riesgo. Esto está cubierto por CVE-2020-25681, CVE-2020-25682, CVE-2020-25683 y CVE-2020-25687.
Muchas, muchas personas han trabajado durante un período considerable para encontrar estos problemas, solucionarlos y coordinar la respuesta de seguridad.”
OpenWRT
OpenWRT ha publicado un aviso que explica cómo puede actualizar su paquete dnsmasq para resolver la vulnerabilidad usando el siguiente comando:
opkg update; opkg upgrade $(opkg list-installed dnsmasq* | cut -d' ' -f1)En el aviso se pueden encontrar más detalles sobre cómo verificar si la actualización se completó correctamente.
El aviso también proporciona una mitigación basada en la configuración si no puedes actualizar tu enrutador en este momento.
Netgear
Netgear ha publicado un aviso que indica que los siguientes productos son vulnerables a las vulnerabilidades DNSPooq dnsmaq:
- RAX40 con versiones de firmware anteriores a v1.0.3.88
- RAX35 con versiones de firmware anteriores a v1.0.3.88
Los propietarios de Netgear pueden descargar el firmware actualizado para estos productos desde la sección de asistencia de NETGEAR.
Red Hat
Red Hat publicó un aviso que ofrece consejos de mitigación para varias versiones de Red Hat Enterprise Linux.
Es posible mitigar las vulnerabilidades en Red Hat 8.3 usando las opciones de configuración de dnsmasq. Sin embargo, las versiones anteriores requieren que actualices el paquete dnsmasq.
Siemens
Siemens ha publicado un aviso de seguridad que indica que RuggedCom RM1224 y varias versiones de Scalance se ven afectadas por las vulnerabilidades de DNSPooq.
Las actualizaciones aún no están disponibles, pero Siemens ha proporcionado mitigaciones que se pueden aplicar a los dispositivos para reducir el riesgo.
Sophos
El aviso de Sophos afirma que su producto Sophos RED se ve afectado por la vulnerabilidad DNSPooq. Sophos afirma que el firmware actualizado de Sophos RED para XG Firewall y SG UTM estará disponible pronto.
Synology
Synology ha publicado un aviso de seguridad. Este indica que sus sistemas operativos DiskStation Manager (DSM) y Synology Router Manager (SRM) solo son vulnerables a las vulnerabilidades de envenenamiento de la caché DNS de DNSPooq. Es decir, CVE-2020-25684, CVE-2020-25685 y CVE-2020- 25686.
“Ninguno de los productos de Synology se ve afectado por CVE-2020-25681, CVE-2020-25682, CVE-2020-25683 y CVE-2020-25687. Esto porque estas vulnerabilidades solo afectan cuando se compila DNSSEC”, explica el aviso de Synology sobre las otras vulnerabilidades.
Las vulnerabilidades en SRM 1.2 se resuelven en la versión 1.2.4-8081-2 o superior. Aún no hay una solución disponible para DSM 6.2.
Ubuntu
Ubuntu ha publicado una lista de avisos de paquetes disponibles para Ubuntu 16.04, 18.04, 20.04 y 20.10 que resuelven la vulnerabilidad.
Cabe señalar que “después de una actualización estándar del sistema, debes reiniciar tu computadora para realizar todos los cambios necesarios”.
