Eine Schwachstelle in Linux könnte das Internet gefährden!

Eine in Linux entdeckte Schwachstelle ermöglicht es, DNS-Server anzugreifen und potenziell Millionen von Nutzern gleichzeitig auf falsche Websites umzuleiten. Bis zu 38 % der DNS-Server könnten betroffen sein, darunter auch Dienste wie OpenDNS.

Eine alte DNS-Cache-Vergiftungslücke taucht mehr als zehn Jahre später wieder auf. Die von Forschern der Universität von Kalifornien beschriebene und auf der ACM CCS 2021 Cybersecurity-Konferenz vorgestellte Schwachstelle könnte bis zu 38 % der DNS-Server betreffen.

Um dies zu verstehen, muss man bis zur ersten Entdeckung einer Schwachstelle in DNS-Servern im Jahr 2008 zurückgehen. Diese Server enthalten die vollständige Liste aller Domainnamen und die IP-Adresse der entsprechenden Website. Wenn Sie eine Adresse eingeben, verbindet sich Ihr Computer mit einem DNS-Server, typischerweise dem Ihres Internetanbieters, um die IP-Adresse zu erhalten. Damals fanden die Forscher heraus, dass es möglich war, den Cache der DNS-Server zu vergiften, indem man ihnen ein falsches Update schickte, wodurch vertrauenswürdige Websites wie google.com auf falsche Websites verwiesen wurden.

Ein Angriff, der durch Brute Force ermöglicht wurde

Zu dieser Zeit war die Aktualisierung des DNS-Caches der Server nur durch eine 16-Bit-Transaktionskennung geschützt, die 65.536 Möglichkeiten bot. Dadurch war es möglich, einen Server mit roher Gewalt anzugreifen, indem man alle IDs ausprobierte und so alle von ihm abhängigen Computer umleitete. Die Schwachstelle wurde behoben, indem ein zufälliger UDP-Port zur Kommunikation verwendet wurde, der die Möglichkeiten mit 16 Bit multiplizierte, was etwa vier Milliarden möglichen Kombinationen entspricht.

Eine neu entdeckte Schwachstelle in Linux stellt diese Sicherheit jedoch in Frage. Sie basiert auf Fehlermeldungen, sogenannten ICMPs, die von DNS-Servern zur Kommunikation verwendet werden. Die Forscher haben gezeigt, dass es möglich ist, eine ICMP-Nachricht zu verwenden, um die richtige UDP-Portnummer zu ermitteln. Ein Angriff müsste dann nur noch die Transaktions-ID per Brute-Force-Methode herausfinden, wie bei der Entdeckung der ursprünglichen Sicherheitslücke im Jahr 2008.

Alle Linux-basierten DNS-Server sind potenziell betroffen

Die Sicherheitslücke betrifft Linux-Server, laut den Forschern etwa 38 % aller Server. Sie funktioniert durch das Senden einer ganz bestimmten Fehlermeldung (vom Typ ICMP redirect und ICMP frageded needed). Da es sich um eine Fehlermeldung handelt, gibt der Server keine Antwort und es ist theoretisch unmöglich, festzustellen, ob sie auf dem richtigen Port gesendet wurde. Unter Linux kann diese Nachricht jedoch die maximale Paketgröße der Server (MTU) verändern, die dann mit einem einfachen „ping“-Befehl gemessen werden kann. Wiederholen Sie den Vorgang also einfach, indem Sie die Ports wechseln, bis Sie den richtigen entdecken können, also maximal 65.536 Mal. Dann ist es möglich, einen direkten Brute-Force-Angriff mithilfe der 2008 entdeckten Methode zu starten.

Den Forschern zufolge sind Windows- und FreeBSD-Server nicht von dieser Sicherheitslücke betroffen. Daher sollten auch macOS-Server nicht gefährdet sein, da sie den Netzwerkprotokollstapel von FreeBSD verwenden. Die Forscher schlagen drei Lösungen vor: die Socket-Option IP_PMTUDISC_OMIT zu verwenden, um Nachrichten vom Typ ICMP frageded needed abzulehnen, die Cache-Struktur zufällig zu machen oder einfach Nachrichten vom Typ ICMP redirect abzulehnen, die selten verwendet werden. Laut der Website Ars Technica gab die Firma Cisco, die Eigentümerin der von den Forschern als anfällig bezeichneten OpenDNS-Server, an, die Schwachstelle bereits behoben zu haben.

Urhebender Autor: Edward Back