Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Dnsmasq en Sistemas de Control Industrial

Fecha de publicación 20/01/2021
Importancia
4 - Alta
Recursos Afectados
  • Dnsmasq DNS y servidor DHCP, versión 2.8.2 y anteriores.

Varios fabricantes de productos de Sistemas de Control Industrial se han visto afectados por esta vulnerabilidad en Dnsmasq, para conocer el listado completo de productos afectados, consulte la sección de referencias.

Descripción

Múltiples vulnerabilidades en la implementación de la DNSSEC dnsmasq podrían permitir a un atacante remoto, no autenticado, envenenar la caché, divulgar información, ejecutar código arbitrario o causar una condición de denegación de servicio (DoS) en un dispositivo afectado. Las vulnerabilidades se agrupan y se denominan DNSpooq.

Solución
  • Actualizar a dnsmasq 2.83.
  • Se recomiendan las siguientes medidas de mitigación:
    • Implementar las características de seguridad de la capa 2, como el DHCP snooping y la protección de la fuente IP.
    • Configurar Dnsmasq para que no escuche las interfaces WAN si no es necesario.
    • Reducir el máximo de consultas permitidas para ser reenviadas con la opción --dns-forward-max=< consultas>. El valor por defecto es 150, pero podría reducirse.
    • Deshabilitar temporalmente la opción de validación de DNSSEC hasta que se actualice.
    • Utilizar DNS-over-HTTPS o DNS-over-TLS para conectarse al servidor upstream.
  • Para conocer las medidas propias de cada fabricante, consulte la sección de referencias.
Detalle
  • Una vulnerabilidad de desbordamiento de búfer basado en memoria dinámica (Heap) debida a la ordenación de los RRSets antes de validarlos con los datos de DNSSEC, podría permitir a un atacante ejecutar código arbitrario mediante el envío de una respuesta DNS especialmente diseñada. Se ha asignado el identificador CVE-2020-25681 para esta vulnerabilidad.
  • Una vulnerabilidad de desbordamiento de búfer basado en memoria dinámica (Heap) debida a la extracción de nombres de paquetes DNS antes de validarlos con los datos de DNSSEC, podría permitir a un atacante ejecutar código arbitrario mediante el envío de una respuesta DNS especialmente diseñada. Se ha asignado el identificador CVE-2020-25682 para esta vulnerabilidad.
  • Las vulnerabilidades de desbordamiento de búfer basado en memoria dinámica (Heap) cuando DNSSEC está activado, antes de validar las entradas recibidas, podría permitir a un atacante denegar el servicio mediante el envío de respuestas DNS válidas. Se ha asignado el identificador CVE-2020-25683 y CVE-2020-25687 para estas vulnerabilidades.
  • La validación insuficiente de la autenticidad de los datos en la respuesta de una consulta reenviada cuando Dnsmasq comprueba en forward.c:reply_query() si la dirección / puerto de destino de la respuesta, es utilizada por las consultas reenviadas pendientes, podría permitir a un atacante realizar un ataque de envenenamiento de la caché del DNS. Se ha asignado el identificador CVE-2020-25684 para esta vulnerabilidad.
  • El uso de un algoritmo criptográfico roto o débil podría permitir a un atacante encontrar varios dominios diferentes con el mismo hash fuera de ruta, reduciendo considerablemente el número de intentos de falsificar una respuesta para su aceptación por parte de Dnsmasq, y realizar un ataque de envenenamiento de la caché del DNS. Se ha asignado el identificador CVE-2020-25685 para esta vulnerabilidad.
  • La validación insuficiente de la autenticidad de los datos, al recibir una consulta en la que Dnsmasq no comprueba si existe una solicitud pendiente con el mismo nombre antes de reenviar una nueva solicitud, podría permitir a un atacante, fuera de la ruta de la red, reducir considerablemente el número de intentos de falsificar una respuesta para su aceptación por parte de Dnsmasq, y realizar un ataque de envenenamiento de la caché del DNS. Se ha asignado el identificador CVE-2020-25686 para esta vulnerabilidad.

Encuesta valoración