Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Dnsmasq

Fecha de publicación 20/01/2021
Importancia
4 - Alta
Recursos Afectados

Dnsmasq DNS y servidor DHCP, versión 2.8.2 y anteriores.

Descripción

Múltiples vulnerabilidades en la implementación de la DNSSEC dnsmasq podrían permitir a un atacante remoto, no autenticado, envenenar la caché, divulgar información, ejecutar código arbitrario o causar una condición de denegación de servicio (DoS) en un dispositivo afectado. Las vulnerabilidades se agrupan y se denominan DNSpooq.

Solución
  • Actualizar a dnsmasq 2.83.
  • Los usuarios de sistemas IoT o embebidos, deberán consultar con su fabricante.
  • Se recomienda hacer uso de las buenas prácticas de seguridad siguientes para proteger la infraestructura DNS:
    • Proteja a sus clientes de DNS utilizando stateful-inspection firewalls que proporcionen seguridad al DNS (por ejemplo, los stateful-inspection firewalls y los dispositivos NAT pueden bloquear las respuestas no solicitadas del DNS, la inspección de la capa de aplicación del DNS puede evitar el reenvío de paquetes de DNS anómalos).
    • Proporcionar un servicio seguro de recursividad del DNS con características como la validación DNSSEC y la codificación 0x20 bits como parte de los servicios de DNS, cuando corresponda.
    • Prevenir la exposición de dispositivos de IoT y otros dispositivos directamente a través de Internet, para minimizar el abuso del DNS.
    • Implementar una configuración Secure By Default adecuada a su entorno.
Detalle
  • Una vulnerabilidad de desbordamiento de búfer basado en memoria dinámica (Heap) debida a la ordenación de los RRSets antes de validarlos con los datos de DNSSEC, podría permitir a un atacante ejecutar código arbitrario mediante el envío de una respuesta DNS especialmente diseñada. Se ha asignado el identificador CVE-2020-25681 para esta vulnerabilidad.
  • Una vulnerabilidad de desbordamiento de búfer basado en memoria dinámica (Heap) debida a la extracción de nombres de paquetes DNS antes de validarlos con los datos de DNSSEC, podría permitir a un atacante ejecutar código arbitrario mediante el envío de una respuesta DNS especialmente diseñada. Se ha asignado el identificador CVE-2020-25682 para esta vulnerabilidad.
  • Las vulnerabilidades de desbordamiento de búfer basado en memoria dinámica (Heap) cuando DNSSEC está activado, antes de validar las entradas recibidas, podría permitir a un atacante denegar el servicio mediante el envío de respuestas DNS válidas. Se ha asignado el identificador CVE-2020-25683 y CVE-2020-25687 para estas vulnerabilidades.
  • La validación insuficiente de la autenticidad de los datos en la respuesta de una consulta reenviada cuando Dnsmasq comprueba en forward.c:reply_query() si la dirección / puerto de destino de la respuesta, es utilizada por las consultas reenviadas pendientes, podría permitir a un atacante realizar un ataque de envenenamiento de la caché del DNS. Se ha asignado el identificador CVE-2020-25684 para esta vulnerabilidad.
  • El uso de un algoritmo criptográfico roto o débil podría permitir a un atacante encontrar varios dominios diferentes con el mismo hash fuera de ruta, reduciendo considerablemente el número de intentos de falsificar una respuesta para su aceptación por parte de Dnsmasq, y realizar un ataque de envenenamiento de la caché del DNS. Se ha asignado el identificador CVE-2020-25685 para esta vulnerabilidad.
  • La validación insuficiente de la autenticidad de los datos, al recibir una consulta en la que Dnsmasq no comprueba si existe una solicitud pendiente con el mismo nombre antes de reenviar una nueva solicitud, podría permitir a un atacante, fuera de la ruta de la red, reducir considerablemente el número de intentos de falsificar una respuesta para su aceptación por parte de Dnsmasq, y realizar un ataque de envenenamiento de la caché del DNS. Se ha asignado el identificador CVE-2020-25686 para esta vulnerabilidad.

Encuesta valoración