-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


CAIS-Alerta [20/01/2021]: Vulnerabilidades no software dnsmasq


Prezados,

O CAIS alerta para as recentes vulnerabilidades divulgadas no software opensource dnsmasq. O dnsmasq é um componente amplamente utilizado por diversas plataformas para prover, entre outras, funções de encaminhamento e "cache" de consultas DNS. Até a publicação desse alerta não foram identificados exploits específicos para as vulnerabilidades reportadas, porém alguns cenários de ataques já são amplamente conhecidos e podem ser explorados por usuários maliciosos.


DESCRIÇÃO

As vulnerabilidades divulgadas podem ser separadas em dois grupos distintos, sendo:

- - Envenenamento de cache DNS (CVE-2020-25686, CVE-2020-25684, CVE-2020-25685)
De forma geral, ocorre quando informações errôneas são inseridas dentro do sistema de cache de um servidor DNS. De forma simplista, quando um usuário faz uma consulta a um servidor DNS (conversão de URL para endereçamento IP) por padrão as informações requisitadas são consultadas no cache local do servidor primeiramente e, se encontradas, enviadas ao solicitante. Caso o sistema de cache esteja comprometido, informações fraudulentas são recuperadas e enviadas ao solicitante que assume a resposta do servidor como confiável, o que acaba por direcionar o usuário para um site potencialmente malicioso. Ainda neste contexto é possível que um atacante direcione parte do tráfego para servidores específicos afim de inspecionar as informações transmitidas e também podem levar a cenários de negação de serviço.

- - Execução de código remoto através da exploração de buffer overflow (CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681)
As condições para cenários de execução remota de código ocorrem devido a uma falha na forma como o dnsmasq, configurado com o recurso de DNSSEC, trata tais requisições. O comprometimemto do sistema nesse cenário pode permitir, também, situações de negação de serviço. Dispositivos que não utilizem o recurso de DNSSEC não apresentam tais vulnerabilidades. Vale ressaltar que a função de DNSSEC é de extrema importância para aumentar a segurança do sistema de DNS e não é recomendada, em hipótese alguma, a desativação ou não utilização desse recurso.


SISTEMAS IMPACTADOS

Software dnsmasq até a versão 2.82;
Plataformas que utilizam dnsmasq integrado em suas soluções de acordo com versão base 2.82.


VERSÕES AFETADAS

Versões do software dnsmasq até a versão 2.82.


CORREÇÕES DISPONÍVEIS

Atualizar a versão do dnsmasq para 2.83 ou mais recente de acordo com os desenvolvedores;
Atualizar as plataformas que utilizam dnsmasq como componente sistêmico de acordo com as versões disponibilizadas pelos mantenedores.


IDENTIFICADORES CVE (http://cve.mitre.org)

 - CVE-2020-25686, CVE-2020-25684, CVE-2020-25685, CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681


MAIS INFORMAÇÕES
[1] https://www.jsof-tech.com/disclosures/dnspooq/
[2] http://www.thekelleys.org.uk/dnsmasq/CHANGELOG (v2.83)
[3] https://kb.cert.org/vuls/id/434904
[4] https://www.cloudflare.com/pt-br/learning/dns/dns-cache-poisoning/
[5] http://www.thekelleys.org.uk/dnsmasq/doc.html


O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

Atenciosamente,

CAIS/RNP


################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais@cais.rnp.br       https://www.rnp.br/sistema-rnp/cais   #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   https://www.cais.rnp.br/cais-pgp.key  #
################################################################


-----BEGIN PGP SIGNATURE-----
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=Rx+Z
-----END PGP SIGNATURE-----