DNSpooQ: Sicherheitslücken im DNS-/DHCP-Server Dnsmasq entdeckt
Angreifer könnten Geräte mit Dnsmasq attackieren und Opfer auf Malware-Websites umleiten. Davon sind unter anderem Asus, Cisco und Xiaomi betroffen.
(Bild: momente/Shutterstock.com)
Sicherheitsforscher von JSOF sind auf sieben Schwachstellen im DNS-/DHCP-Server Dnsmasq gestoßen. Angreifer könnten damit ausgestattete Geräte attackieren und beispielsweise DNS-Einträge manipulieren, um Opfer auf von ihnen kontrollierte Websites umzuleiten. 2008 stellte der Informatiker Dan Kaminsky so eine DNS-Attacke erstmals vor. Auch die Ausführung von Schadcode und die komplette Übernahme von Geräte durch Angreifer sei vorstellbar.
Dnsmasq ist ein weit verbreiteter DNS-/DHCP-Server auf Open-Source-Basis, der vor allem in Embedded-Systemen und IoT-Geräten zum Einsatz kommt. Einer Meldung der Sicherheitsforscher zufolge sind davon mehr als 40 Hersteller betroffen. Darunter finden sich zum Beispiel Comcast, Google und Netgear. Die Dnsmasq-Version 2.83 ist gegen die Attacken abgesichert. Erste Hersteller haben bereits Sicherheitsupdates veröffentlicht (siehe Liste am Ende dieser Meldung).
Gefährliche Auswirkungen
Attacken sollen direkt über das Internet möglich sein. Die Sicherheitsforscher geben an, über die IoT-Suchmaschine Shodan rund 1 Million lauschende Dnsmasq-Server entdeckt zu haben. So könnten Angreifer Attacken beispielsweise mittels präparierter Anfragen einleiten. Angriffe sollen den Sicherheitsforschern zufolge "in Sekunden oder ein paar Minuten ohne spezielle Anforderungen" möglich sein.
Auch Attacken über Webbrowser seien vorstellbar. Dabei soll es ausreichen, wenn Angreifer eine mit Schadcode versehen Werbe-Anzeige in ein Werbenetzwerk einschleusen können. Besucht ein Opfer eine Seite mit dieser Anzeige, könnten die Angreifer zugreifen. Derartige Attacken sind den Sicherheitsforschern zufolge aber vergleichsweise komplex.
Auch wenn keine der sieben Lücke als "kritisch" eingestuft ist, könnten Angreifer mehrere Schwachstellen miteinander kombinieren, um letztlich einen kritischen Angriff auszuführen. In einem technischen Whitepaper beschreiben die Sicherheitsforscher mögliche Angriffsszenarien und deren Auswirkungen. Konkret könnten Angreifer beispielsweise DDoS-Zustände auslösen, sich als Man-in-the-Middle in Verbindungen einklinken, Opfer auf eigene Websites umleiten (DNS cache poisoning) und Schadcode ausführen.
Sicherheitslücken:
- CVE-2020-25681 CVSS 8.1
- CVE-2020-25682 CVSS 8.1
- CVE-2020-25683 CVSS 5.9
- CVE-2020-25687 CVSS 5.9
- CVE-2020-25684 CVSS 4
- CVE-2020-25685 CVSS 4
- CVE-2020-25686 CVSS 4
Bislang erschienene Sicherheitsupdates:
- Arista
- Cisco
- Dnsmasq
- Netgear RAX35 und RAX40 Firmware 1.0.3.88
- OpenWrt
- Red Hat
- Siemens
- Sophos
- Synology
- Ubuntu
[UPDATE 21.01.2021 09:42]
Weitere Hersteller hinzugefügt.
(des)
